LINUX.ORG.RU

Альтернативы Hardened Gentoo

 , ,


1

2

Где защищённое ядро с grsecurity, pax, поддержка мандатных систем доступа (SELinux, AppArmor, tomoyo, что-то из них).
Понятно, что своё ядро можно собрать в любом дистрибутиве, но хотелось бы более нормальную поддержку из коробки, своевременные обновления, чтобы само не ломалось и т.д., что можно и в продакшен.

В каких-то дистрибутивах (из бинарных) софт собирается компилятором как hardened toolchain, с флажками/патчами для защиты от переполнения буфера, стека и прочее?

В Федоре есть SELinux из коробки. Про остальное не знаю. Думаю, гента для твоих задач лучше всего и подойдёт.

sudopacman ★★★★★ ()

Для начала придется выбирать: либо Grsecurity либо SELinux, AppArmor, tomoyo, что-то из них. Grsec сам себе RBAC и с другими не дружит, если выключить RBAC в grsec, то проку от него не будет, лучше уже отдельно PaX ставить. Если первое, то придется самому собирать патченое ядро и пердолиться с PaX, пытаясь прикрутить обратно то, что снова отвалилось. Грсеки сами по себе, осуществляют собственную поддержку, и ни один бинарный дистрибутив его официально не поддерживает. Со вторым намного проще, SELinux официально поддерживается в редхатах, AppArmor в убунте.

Unicode4all ★★★★★ ()
Последнее исправление: Unicode4all (всего исправлений: 3)

Брать дистр без поддержки, самому компилировать ядро и героически тыкать флаги на каждый файл имхо очень плохой вариант. Легко можно накосячить при очередном обновлении...

Арч, вроде бы тянет еще поддержку на уровне дистра https://wiki.archlinux.org/index.php/Grsecurity и ядро https://www.archlinux.org/packages/?name=linux-grsec но лично не пробовал. И опять же, в арче наверняка в linux-grsec ядре стоит как MAC его RBAC. Для SELinux, AppArmor, tomoyo надо пересобирать — отключать RBAC и соотв. образом включать нужную MAC.

Для начала придется выбирать: либо Grsecurity либо SELinux, AppArmor, tomoyo, что-то из них. Grsec сам себе RBAC и с другими не дружит...

Отлично работает с SELinux и AppArmor (tomoyo не используем), Grsecurity RBAC — отключаемая опция патча. Не вводите людей в заблуждение, вы путаете «Grsecurity» с «Grsecurity RBAC», который является только его необязательной частью.

viewizard ★★ ()

Мимокрокодилю, но, может QubesOS?

CaveRat ★★ ()
Ответ на: комментарий от Unicode4all

grsec работает одновременно с selinux (работал)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.