grsecurity
패치(또는 패치가 제공하는 보안 기능)가 기본적으로 커널에 포함되지 않는 이유는 무엇입니까? 보안상의 이점을 고려할 때 원래 커널은 매우 안전하지 않은 것 같습니다.
이것이 절충안인 경우(특정 응용 프로그램에 대한 보안 조치를 피하려는 경우) grsecurity
스톡 커널에서 옵션을 활성화하는 것이 가능할 것 같습니다.
주류 바닐라 커널에는 너무 많은 것들이 있어서 커뮤니티가 그것을 포함하고 싶어하지 않는다는 것을 이해하기가 어렵습니다 grsecurity
.
답변1
(저는 grsecurity 개발자입니다.)
Jess Billings의 답변에서 논의된 이메일 게시물을 기반으로 합니다.LWN 기사.
여기서 중요한 배경은 grsecurity나 PaX 개발자 모두 이 메일링 리스트 토론에 참여하지 않았다는 것입니다. LWN 기사에 대한 PaX 팀의 의견은 이를 명확히 합니다. 우리는 메인라인에 포함할 패치를 제출한 적이 없습니다. 간단한 이유는 우리가 아이디어와 구현을 갖고 있고 업스트림에서는 이러한 문제를 해결할 수 없기 때문입니다. 게다가 보안에 매우 반대하는 개발자 그룹과 지루한 메일링 리스트 논쟁에 참여해야 했습니다(참조:나의 2012년 H2HC 강연이에 대한 추가 논의). 우리는 시간과 자원이 제한되어 있기 때문에 이를 가장 효율적인 방법으로 사용하기로 선택합니다. 즉, 미래의 보안 기술을 개발하고 모든 사람에게 무료로 제공하는 것입니다. PaX 팀이 의견에서 언급했듯이 우리는 보안에 대해 구체적이고 포괄적인 관점을 갖고 있으므로 개별 기능을 분리하고 업스트리밍하는 데 큰 장점이 있다고 생각하지 않습니다.
답변2
grsecurity 개발자들은 이미과거 질문Linus가 커널 변경 사항을 수락하도록 설득하십시오. 문제는 다음과 같습니다
- 코드를 여러 조각으로 나누는 대신 큰 덩어리의 코드를 커밋하세요.
- Linus는 많은 변경 사항을 "미친" 것으로 간주했는데, 이는 아마도 Linus가 자신의 향후 개발 계획에 맞지 않는다는 표현 방식이었을 것입니다.