Sono [email protected] e grsec è la ragione per cui posso dormire la notte.
Come esempio di un exploit bloccato da grsec, puoi esaminare quasi tutte le vulnerabilità del kernel recenti. Gli exploit azionari semplicemente non funzionano contro un kernel grsec.
Come esempio di una vulnerabilità bloccata da grsec, e in particolare da UDEREF, hai la root locale x86_32 recente.
Grsec (meno rbac) non farà nulla contro i problemi "logici" (shellshock, hearthbleed, i problemi LD_ *) ma, insieme a una toolchain avanzata, rende alcune classi di bug molto più difficili da sfruttare.
A cosa serve sono i bug del kernel.
Allora hai RBAC. Rbac è un sistema MAC (controllo di accesso obbligatorio), come SELinux o AppArmor, che offre ulteriore protezione, anche da root.
Inoltre, grsec ti permetterà di abilitare alcune restrizioni che sono davvero utili se puoi sopportarle. I principali sono:
- restrizioni del socket (nessun ascolto / nessuna connessione / niente)
- / proc visibility restriction (per utente)
- chroot più potenti
- limita i programmi eseguibili solo a quelli root-root
Il punto è: grsec renderà il tuo sistema più sicuro, ma i bug saranno trovati anche nel sistema più sicuro.