PAX & Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC. Пока утверждают и доказывают, что этого хватает для закрытия всех возможных уязвимостей, или препятствию развития атаки! Когда другие спешно обновляются, чтобы закрыть одну дыру, или пишут антивирусник защищающий дыру, то https://grsecurity.net/ внедряют в ядро Linux технологию которая закрывает сразу от всего подобного класса атак и делает невозможным эксплуатацию всех подобных (ещё публично неизвестных) дыр.> ....В Owl же мы изначально сделали упор на переделку userland'а, в частности для privilege separation, в чем и достигли успехов....
Сравнительная таблица grsecurity, selinux, apparmor: https://grsecurity.net/compare.php интересно было увидеть также Owl..
для разграничения привилегий в пользовательском окружении используются разные техники:
1. приямые и явные политики на основе списков доступа до косвенных
2. неявные - рандомизация памяти (PAX), адресов линковки (PIE), списка процессов (скрытие proc), ... и предоставление процессу только необходимой и достаточной информации. Если процесс не угадал с адресом или ещё чем, то его ядро убивает.
> Теперь вопрос - стоит ли нам потратить еще время и объединить лучшие наработки? И в рамках какого проекта (или каких проектов)?
Не готов дать совет:(
В мире линукс выбор между
Hardened Gentoo https://wiki.gentoo.org/wiki/Project:Hardened
Hardened Debian https://wiki.debian.org/Hardening
последний мертвый, может в https://devuan.org/ пойдут дела быстрее...
Если у вас переделан сильно юзерленд, то лучше наверно общатся с разрабами конкретных прог... слать им падчи и обяснять им необходимость усиления privilege separation. Но по моему печальному опыту проще уболтать разрабов процов добавить ещё инструкцию для ускорение обработки каких-то систем безопасности чем закомитить патчи в апстрим.