> PAX & Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC.Я в курсе. Довольно странно мне рассказывать про проект, который исходно появился как порт моего же патча, на тот момент с ядра 2.2.x на 2.4.x. Разве что если бы я совсем не следил за его дальнейшим развитием. Но я всё же слегка поглядываю и немного общаюсь. Я частично потому и забросил эту область сам, что ей занялись другие.
> Сравнительная таблица grsecurity, selinux, apparmor: https://grsecurity.net/compare.php
> интересно было увидеть также Owl..
Owl плохо для такого сравнения подходит. Даже сравнение с SELinux и AppArmor довольно странное. Да, в grsecurity тоже есть средства mandatory access control, но, думаю, их мало кто использует. Возможно, они там даже не к месту.
> для разграничения привилегий в пользовательском окружении используются разные техники:
Это не privilege separation. Это privilege reduction и hardening.
> Если у вас переделан сильно юзерленд, то лучше наверно общатся с разрабами
> конкретных прог... слать им падчи и обяснять им необходимость усиления privilege
> separation. Но по моему печальному опыту проще уболтать разрабов процов добавить
> ещё инструкцию для ускорение обработки каких-то систем безопасности чем закомитить патчи
> в апстрим.
Странный опыт. Продвинуть что-либо в upstream действительно бывает непросто, но сравнение надуманное. Некоторые наши патчи вошли в разные upstream'ы. Из относящихся к безопасности, упомянутая здесь поддержка non-raw ICMP sockets вошла в upstream ядро (откуда ее, кстати, еще и бек-портировали в RHEL6, так что наш не-SUID'ный ping работает на RHEL6/CentOS 6 - мы этим пользуемся когда слегка harden'им такие системы у клиентов).
P.S. Вижу кто-то "минуснул" ваш комментарий. Не я. Я просто общаюсь.
