しかし、私のカーネルを保護するためにGrsecurityを使用したいと思います。これを調べて、いくつかのチュートリアルを見つけましたが、わかりません。現在、カーネルをバニラカーネルに置き換える必要があることを読んでいます。これは変わらないデフォルトのLinuxカーネルですが、Debianに含まれている現在のカーネルをバニラカーネルに置き換えるのはお勧めできませんか?これはアップデートの問題を引き起こし、すべてのアップデートを受け取らないか、Debianを最適に最適化できなくなりますか?
バニラに置き換えると更新が簡単になりますか、それとも更新のために毎回バニラのウェブサイトを確認してから手動でコンパイルする必要がありますか?
つまり、Grsecurityでカーネルを保護し、バニラの問題を解決するのは良い考えでしょうか? この Debian ページパフォーマンスの低下がそれほど深刻ではなく簡単に更新できるリポジトリがあると言いましたが、それが今日でも本当ですか?
このようなことを経験したことがありますか、自分でやったことがありますか?
ありがとうございます!
答え1
スティーブンは私よりも速いです。linux-image-grsec-amd6カーネルを含まずにコンパイルして使用したい場合make-kpkg。
ただし、使用中にいくつかの問題が発生する可能性がありますgrsecurity。
- 休止状態が中断される可能性があります(
CONFIG_GRKERNSEC_KMEM、とのCONFIG_PAX_MEMORY_SANITIZE衝突CONFIG_RANDOMIZE_BASE)。 - Xenとvirtualboxが競合する可能性があります(
CONFIG_PAX_KERNEXECおよび競合CONFIG_PAX_MEMORY_UDEREF)。 - アクティブなコード再利用攻撃保護(RAP)を使用すると、ドライバなどのバイナリブロブが
CONFIG_PAX_RAP破損する可能性があります。nvidia broadcom-sta-dkms違法なメモリアクセスが原因でコンパイルが失敗する可能性があります。
これらはすべてArch Linuxにリストされています。Grsecurity Wikiページ。自宅ではgrsecurityを使用することに決め、nvidia独自のドライバを使用していません(しかし、そのブランドのカードをインストールしました)。ディストリビューションがgrsecでどのパラメータを有効にしているかを確認し、それが要件を満たしていること(または特定の機能を妥協できるかどうか)を確認する必要があります。
linux-image独自のデフォルトカーネルをパッケージ/パッチすることを選択した場合は、カーネルを更新し続けるためにDebian独自のkernel-sourceツールを使用する必要がありますkernel-headers。
関連情報:
答え2
Wikiページには、安定パッケージに含まれているgrsecカーネルが記載されており、Debian 8(Jessie)で利用可能になりました。渡す バックポート。インストールするには、適切なリポジトリを追加してください。
echo deb http://http.debian.net/debian jessie-backports main > /etc/apt/sources.list.d/jessie-backports.list
(例root:)、その後
apt-get update
最後に、カーネルと適切なツールをインストールします。
apt-get -t jessie-backports linux-image-grsec-amd64 gradm2
(実行中だと仮定amd64)。これにより最近 grsec カーネル、更新を維持してください。
grsec システムを正しく実行する前に、いくつかの設定を調整する必要がある場合があるので、 grsec ではなくカーネルを維持してください。