Исходное сообщение
"Grsecurity нарушает лицензию GPL в своих попытках остановить..." Отправлено добрый, 15-Июл-17 00:04
>> Ну да конечно, только вот их патчи на 99.9% защищают от всех експлойтов. > Истина. Они защищают от 99% эксплоитов. А ещё с их патчами огромное > число программ просто откажутся запускаться. Запустите JVM, запустите Racket. Не получается? Эти программы точно так же не запустятся, если посредством SELinux им запретить помечать страницы памяти на запись и исполнение кода (нарушение правила W^X). Значит ли это, что SELinux несовместим с нормальной работой системы? Нет, это значит, что SELinux реализует ограничения, которые для некоторых приложений включать не стоит. В Grsecurity ситуация обстоит точно также: всем процессам в системе по умолчанию запрещено нарушать правило W^X, из-за которого закономерно не работают приложения, использующие JIT-компиляцию. Но этот запрет можно отключить выборочно, конкретно для этих приложений (выставив флаги ФС через setfattr: setfattr -n user.pax.flags -v m /path/to/the/executable), либо для всей системы. Причём, в последнем случае - как на этапе сборки ядра (собирать без CONFIG_PAX_MPROTECT), так и с помощью аргументов ядра через загрузчик: pax_softmode=1 (но так отключаются все защиты юзерспейса, вследствие чего их явно придётся включать флагами для каждого исполняемого файла, где они нужны). > А Emacs запустится ли, как думаете? Нет? У меня запускается даже без выставления флагов на исполняемый файл. > Ну и что с такой системой делать? Читать документацию и работать без проблем? :)