grsecurity补丁(或其带来的安全功能)默认不包含在内核中的原因是什么?当考虑安全性的好处时,原始内核似乎相当不安全。
如果这是一种权衡(您希望避免某些应用程序的安全措施),那么似乎grsecurity可以在普通内核中启用该选项。
主流 vanilla 内核中有这么多东西,我很难理解社区不想包含grsecurity.
答案1
(我是一名 grsecurity 开发人员。)
这里重要的背景是 grsecurity 和 PaX 开发人员都没有参与该邮件列表讨论。 PaX 团队对 LWN 文章的评论澄清了这一点。我们从未提交过主线包含的补丁。一个简单的原因是我们是拥有想法和实施的人,而上游无法解决这些问题。此外,我们还必须与一群非常反安全的开发人员进行令人厌烦的邮件列表争论(请参阅我的 2012 H2HC 演讲对此进行更多讨论)。我们的时间和资源有限,因此我们选择以最有效的方式使用它:创建未来的安全技术并免费提供给每个人。正如 PaX 团队在评论中提到的那样,我们对安全性有一个特定的包容性观点,因此也不相信单独功能的分离和上游有太多优点。
答案2
看来 grsecurity 开发者已经有过去的问题说服 Linus 接受对内核的更改。问题似乎是:
- 提交一大堆代码而不是将其分解成碎片
- Linus 认为很多改变都是“疯狂的”,这可能是 Linus 表达的方式,因为这不符合他未来的开发计划。