nvidia-drivers и PaX теперь совсем все?

nvidia-drivers

запускает закрытый потенциально вредоносный код с правами ядра

@

и PaX

пытается от чего-то там защищаться

Ты про это? Можешь размаскировать и пользоваться на свой страх и риск.

Протестированная разработчиками конфигурация nvidia-drivers на hardened - это только модуль ядра, без драйвера для иксов - для использования CUDA.

Если ты про что-то другое - бага на багзилле я не вижу, поясни

Эм, у меня с патчами pax_kernel оно не собралось. Хотя ошибка была размытая очень. Постараюсь повторить.

Кхм, а можно такой интересный вопрос:
А нафига мне на домашней системе это? ssp и selinux разве за глаза не хватит? Где вообще по умолчанию pax юзают?

У Вас hardened? Чем свободный драйвер не устроил? Купите AIT/AMD.

Хай. Почему тебя никогда в джаббере нет? :)

А нафига мне на домашней системе это? ssp и selinux разве за глаза не хватит? Где вообще по умолчанию pax юзают?

Если ты задаешься такими вопросами - нафига тебе вообще hardened на домашней системе?

ssp

Поздравляю, эту штуку делала PaX team, ты уже пользуешься их наработками :-)

selinux

Я больше сторонник GrSecurity, но это не отменяет того факта, что если произойдет где-то переполнение - то без PaX мандатная система контроля поможет тебе, но не сильно.

PaX стоит рассматривать как пассивную оборону, а MAC-систему с настраиваемыми политиками - как активную. Не в плане противодействия злоумышленнику, а в плане нужных настроек.

Да я вот решил всё-таки отказаться от hardened на данной машине. А SSP уже по умолчанию в Gentoo включён кстати.

Grsec я честно говоря побаиваюсь пользоваться. Мне почему-то кажется, что он менее надежен т.к. меньше народу пользуется (меньше глаз и все такое). А ещё я не понимаю как он работает :) Сейчас погуглю.

А ещё я не понимаю как он работает

А SELinux досконально знаешь? Силен тогда, я вон почитываю по нему документацию(неспешно) - он гораздо более заморочен чем GrSec. Не спорю, он фичастее, но чтобы вкурить GrSec по минимуму мне потребовалось пара-тройка часов вдумчивого чтения документации. А с SELinux такие штуки не проканали.

А SSP уже по умолчанию в Gentoo включён кстати.

Только для GCC >=4.8, то есть еще не на всех не-hardened системах. Потому что далеко не все(скорее почти никто) после апгрейда компилятора делают emerge -e world

а каково падение производительности от SSP и _FORTIFY_SOURCE

от SSP

Незначительное, по сравнению с полученной безопасностью, Подробностей я не знаю - видел результаты тестов от товарищей, которые «в теме». Я в потрохах компиляторов не знаток - предпочитаю доверять им.

_FORTIFY_SOURCE

Тут у меня данных нет

Почитал, звучит неплохо. Потыкаю.