grsecurityパッチ(またはパッチが提供するセキュリティ機能)がデフォルトでカーネルに含まれていないのはなぜですか?セキュリティ上の利点を考慮すると、元のカーネルは非常に安全ではないようです。
これが妥協である場合(特定のアプリケーションに対するセキュリティ対策を回避したい場合)、ストックgrsecurityカーネルでオプションを有効にすることは可能です。
主流のバニラカーネルにはあまりにも多くのものがあり、コミュニティがそれを含めたくないことを理解するのは難しいですgrsecurity。
答え1
(私はgrsecurity開発者です。)
Jess Billingsの回答で議論された電子メールの投稿に基づいています。LWN 記事。
ここで重要な背景は、grsecurityもPaX開発者もこのメーリングリストの議論に参加していないことです。 LWNの記事に対するPaXチームのコメントはこれを明確にします。私たちはメインラインに含めるパッチを提出したことがありません。単純な理由は、私たちはアイデアと実装を持っており、アップストリームではこれらの問題を解決できないからです。さらに、セキュリティに非常に反対する開発者グループと退屈なメーリングリストの議論に参加する必要がありました(参照:私の2012年のH2HC講演これについてのさらなる議論)。時間とリソースが限られているため、これを最も効率的な方法で使用することを選択します。つまり、将来のセキュリティ技術を開発し、誰にでも無料で提供することです。 PaXチームがコメントで述べたように、私たちはセキュリティについて具体的かつ包括的な視点を持っているので、個々の機能を分離してアップストリーミングすることに大きな利点があるとは思わない。
答え2
grsecurity開発者はすでに過去の質問Linusがカーネルの変更を受け入れるように説得します。問題は次のとおりです。
- コードを複数の部分に分割するのではなく、大きな塊のコードをコミットしてください。
- Linusは多くの変更を「クレイジー」と見なしていました。