Por que os patches de grsecurity não estão incluídos no Kernel do Vanilla?

22

Quais são as razões pelas quais grsecurity patches (ou os recursos de segurança que ele traz) não são incluídos no kernel por padrão. Ao olhar para os benefícios da segurança, parece que o kernel vanilla é bastante inseguro.

Se isso for uma desvantagem (alguns aplicativos nos quais você deseja evitar as medidas de segurança), parece que grsecurity poderia ser uma opção para ativar no kernel vanilla.

Com tantas coisas no kernel main vanilla, eu tenho dificuldade em entender as razões pelas quais a comunidade não quer incluir grsecurity .

    
por humanityANDpeace 20.12.2012 / 17:18

2 respostas

23

(Sou um desenvolvedor de segurança).

a resposta do jsbillings é baseada em um post de e-mail discutido em um artigo do LWN .

O contexto importante aqui é que nem os desenvolvedores da grsecurity nem da PaX estavam envolvidos nessa discussão da lista de discussão. O comentário da Equipe da PaX ao artigo da LWN esclarece isso. Nós nunca enviamos os patches para inclusão na linha principal. Uma razão simples é que somos aqueles com ideias e implementações, o que o upstreaming não resolveria. Além disso, nós teríamos que nos engajar em argumentos cansativos na lista de discussão com um grupo de desenvolvedores que são muito anti-segurança (veja minha apresentação do H2HC em 2012 para mais discussão sobre isso). Temos tempo e recursos limitados, por isso optamos por gastá-lo da maneira mais eficaz possível: criar a tecnologia de segurança de amanhã e disponibilizá-la gratuitamente para todos. Como a Equipe PaX menciona em seu comentário, temos uma visão geral abrangente da segurança e, portanto, não acreditamos que haja muito mérito no desdobramento e no upstream de recursos individuais.

    
por 20.12.2012 / 21:14
10

Parece que os desenvolvedores do grsecurity tiveram problemas no passado convencendo Linus a aceitar mudanças no núcleo. Os problemas parecem ser:

  1. Enviando um blob gigante de código e não dividindo em pedaços
  2. Linus considera muitas das mudanças "insanas", o que é provavelmente a maneira de Linus dizer que não funciona com seus planos para desenvolvimento futuro.
por 20.12.2012 / 17:38