Soy [email protected], y grsec es la razón por la que puedo dormir por la noche.
Como ejemplo de un exploit bloqueado por grsec, puede observar casi cualquiera de las vulnerabilidades recientes del kernel. Las vulnerabilidades de stock simplemente no funcionan contra un kernel grsec.
Como ejemplo de una vulnerabilidad bloqueada por grsec y, en particular, por UDEREF, tiene la raíz local reciente x86_32.
Grsec (menos rbac) no hará nada contra los problemas "lógicos" (shell shock, hearthble, los problemas LD_ *) pero, junto con una cadena de herramientas endurecida, hace que algunas clases de errores sean mucho más difíciles de explotar.
Lo que hace ayuda contra los errores del kernel.
Entonces tienes RBAC. Rbac es un sistema MAC (control de acceso obligatorio), como SELinux o AppArmor, que ofrece una mayor protección, incluso desde la raíz.
Además, grsec le permitirá habilitar algunas restricciones ingeniosas que son realmente útiles si las puede soportar. Los principales son:
- restricciones de socket (no escuchar / no conectar / nada)
- / restricción de visibilidad proc (por usuario)
- chroots más fuertes
- restringe los programas ejecutables solo a los aprobados por root
El punto es: grsec hará que su sistema sea más seguro, pero los errores se encontrarán incluso en el sistema más seguro.