Annyi hülyeséget összehordtok, hogy most már muszáj valahova válaszolnom...
Akkor lenne nagyobb eselye ha nem riasztana el embereket a VMware/VirtualBox/KVM support letiltasa.
Nincs olyan, hogy VMware/VirtualBox/KVM support letiltása.
Olyan van, hogy nem megfelelően implementált kernel modul a VMware/VirtualBox részéről (KVM-ről nem tudom, hogy ne működne), amellyel érthető módon nem kíván a PaX Team foglalkozni, mert rengeteg idejét venné el.
Ezen is pl. segítene a mainline-ba való bekerülés, mert egyből nem neki kellene mindenféle third-party kernel modulokat támogatnia, hanem a többinek lenne érdeke alkalmazkodni egy biztonságosabb és robosztusabb kernel memória kezeléshez, amely nem csak kernel sebezhetőségek kihasználását védi meg, hanem a megbízhatóságot is növeli azzal, hogy nem enged szabálytalanul írni a kernel memória területére.
Igy nem lehet disztrokernelbe beengedni, hiszen csak kulon forditott modulkent lehet szallitani.
Grsecurity/PaX sose működött külön modulként, mert annyira mély dolgokat szabályoz a kernelben, amely lehetetlenné teszi ezt... Ez mondjuk megkérdőjelezi, hogy mennyire ismered, ha nem tudtad.
valami patch bekeruljon egy stabilnak mondott stuffba, peldaul hogy ne rontsa annak a felhasznalhatosagat.
Most ha eltekintünk attól, hogy sokan kacagásban törnek ki, ha a Linux kernel és a stabil szó egy mondatba kerül, vedd észre azt, hogy megannyi funkció van már jelenleg is a kernelben, amely egy másik funkció felhasználhatóságát rontja. Hogy mást ne mondjak, a PAX_UDEREF nagyon gyenge utánzata az mmap_min_addr pont ilyen. Előbbi gond nélkül engedi a 0x0 címre történő mappelést, miközben tökéletesen védi a teljes userland címteret a kernel -> userland hibás derefenciáktól, míg a RedHat-féle egyszerű tákolmány nem engedi az mmap(0)-t és nem is védi a teljes címteret, ellenben jópár program nem működik vele.
És mégis melyik került be a kernelbe? (Költői kérdés volt, nem kell rá válaszolni...)
Ezenfelul a grsec-nek nem artananak jo userland cuccok. A RSBAC-nak is az a baja, hogy nagyon nehezkes a kezelese, ACL modul bekapcsolasahoz peldaul hatalmas batorsag kell.
Grsecurity-nek sose volt része az RSBAC, így ismét megkérdőjelezhető, hogy mennyire ismered. Ha esetleg az RBAC-ra gondolsz, akkor annak beállítása viszont messze könyebb, mint a többinek. Learning-mode-ban gyakorlatilag teljesen jól beállítja a szabályokat, maximum apró finomításokra lehet szükség utána. Az összes többi hozzáférés szabályozó megoldás tanulhatna belőle.
Kéretik akkor írni/ítélkezni a grsec/pax-ról nagy "hanggal", ha egyáltalán ismeri a hozzászóló. Akár magát a security megoldást, akár ha gond van vele, akkor a probléma hátterét.