我知道我可以申请网络安全通过编译我自己的内核来打补丁。执行一次并不是什么大问题,但是太复杂,无法进行定期且简单的内核映像更新。所以我正在寻找支持 gsecurity 作为内核包的 Linux 发行版,我可以通过包管理器轻松更新它。 Ubuntu 有一个存储库http://kernelsec.cr0.org/这可能是可信的,因为它是由 gsecurity 页面链接的。但它似乎以内核版本 2.6.32.15 结束。
由于我目前使用的是 ubuntu,因此如果能找到基于 ubuntu 或仅基于 debian 的东西就太好了。
答案1
网络安全是一个基于 OpenSUSE 的发行版,默认支持 grsecurity。
从主页:
NetSecL 是一个基于 OpenSuse 的强化、实时且可安装的操作系统,适用于桌面/服务器和渗透测试。安装后,您可以充分享受 GrSecurity 强化内核和渗透工具的功能,或者直接使用 Live DVD 中的渗透工具。 GrSecurity 是一项出色的安全增强功能,您可以通过 NetSecL 享受它,并拥有正常运行的操作系统以及 NetSecL 防火墙和渗透工具,您随时准备好并了解您的安全级别。
彭图是一个基于 gentoo 的发行版,默认包含 grsecurity,来自维基百科页面:
Pentoo 内核包括 grsecurity 和 PAX 强化以及额外的补丁 - 带有从强化工具链编译的二进制文件,其中包含一些可用工具的最新夜间版本。
答案2
ArchLinux 有带有 grsec 的最新内核在他们的回购协议中。有关此包的更多信息可以在其专用的维基页面。
答案3
Alpine Linux 默认使用带有 grsec 的内核,因此一旦安装更新就不需要额外的工作。尽管我的理解是他们使用不受支持的 grsec 内核。
答案4
子图操作系统是默认添加 Grsecurity/Pax 补丁的 Debian 发行版的另一个示例,
Subgraph OS 包含一个使用备受推崇的 grsecurity/PaX 补丁集进行强化的内核,用于系统范围的漏洞利用和权限升级缓解。除了使内核更能抵抗攻击之外,grsecurity 和 PaX 安全功能还为所有无需修改(即重新编译/重新链接)运行的进程提供强大的安全保护。
Subgraph OS 内核还采用最近发布的 RAP(测试补丁演示)安全增强功能构建,旨在防止内核中的代码重用(即 ROP)攻击。这是针对当代利用技术的重要缓解措施,并大大增加了内核对现代利用技术的抵抗力,一旦端点上的应用程序遭到破坏,现代利用技术可用于升级权限。 grsecurity、PaX 和 RAP 是 Subgraph OS 中实施的基本防御措施。