Oké, leegyszerűsítve:
mérlegnek van két serpenyője:
Egyikben van a grsec, PaX SEGMEXEC el mondjuk desktop téren. Fogott már meg dolgokat, Jó esélyed van monjuk egy 0-day firefox flash, java_vm, mplayer, konqueror, imagemagick, xine vulnerabilityvel szemben. :-) / nézem még mik vannak a debsecanban / szép hosszú a lista, pedig csak a vulnerability without updatest nézem, mondjuk ez a disztróról sem ad túl jó képet valószínűleg :(. Többség innét van.
Ha jól emléxem te is linkeltél be anno pár hónapja egy 2.6 kernel exploitot amit asszem segmexec+uderef pl. megfogott. vm_splice, vagy melyik volt ?
Akinek volt TPE annál el sem indult fordítás után. ;-)
Mérleg másik oldalán nincsen semmi. Érintve vagy és pont, így jártál. Vagy eltalál egy dög, vagy nem. Linuxot használsz, esélyeidet ezzel csökkentetted, dögök jórésze win specifikus. De azért maradt a serpenyőben.
Ez az egyik rész.
Grsec compatibilitás: Milyen 3rd binary modulokat használsz, amik rendelkeznek "program" komponensel is. Pl. nvidia binary driver + nvidia Xorg modul, stb , amikor fennál az esélye, hogy a kernelmodul olyan módon kommunikálna a programjával amit mondjuk az egyik grsec/PaX opció lecsap, és emiatt vagy funkcióvesztés, esetleg kernelpanic következhet be. wireless driverek, ati-bináris driver (?), vmware (?),virtualbox(?) ???
nem speciálisan bizonyos esetekben, hanem széles körben
Hát azért ha ilyen restrict_mprotect() -el inkompatibilis cuccból van több nálad desktopon azért az érdekes (én azért benéznék a proc/id/maps ba hogy tényleg ígyvane) , ha pedig ezért a néhány darabért ami talán nincs egy tucat sem, lemondasz a funkcióról azt mondjuk te tudod.
Szerintem egy parancs (paxctl) kiadása nem olyan mértékű és idejű probléma, hogy érdemes lenne általánosságban is lemondani egy ficsőrről. Más lenne ha mondjuk újra kellene emiatt a programot fordítani minden alkalommal mikor új verzió van, az már mondjuk szvsz is gáz :))
------------
Olyan hibák amelyek grsec el érkeztek a kernelbe, amúgy nem lennél érintve.
Ismertté vált hibák listája, és súlyossági besorolása az 2003-2008
+ pax
Most a linux-2.6 ot nem szeretném inkább belinkelni az elmult évekből. :))
Egyik kedvencem ez, ahol előszőr részleteket szivárogtattak ki, aztán közölték hogy 50.000 dolcsiért részletek+exploit (?) / meg publikussá csak fél év után adják az exploitot, ez asszem másfél éve volt, exploit azóta sincs / ha jól emléxem, aztán grsec "ez kamu" hírlevelélre kiadtak egy PoC kódot, ami asszem local DoS-ra volt alkalmas és ennyi.
Ebből, ha desktopon vagy vondd le a rbac ot amit valószínűleg nem fogsz bekapcsolni. (gradm -E) ;-)
-------------------
r=1 vagyok, de ugatok...