[CentOS-de] grsec Patch und aktueller Kernel

Kai Bojens kb at kbojens.de
So Mär 29 14:16:03 UTC 2015


Am 29.03.2015 um 10:56 schrieb Timo Schöler:

> Eine "Erklärung" für das von Dir genannte "haarig sein" der
> Prozedur (ja, das stimmt, been there, done that -- nicht wegen
> grsec, sondern anderer Gründe) wird sicher sein, daß -- wie von Dir
> oben erwähnt -- es "nicht vorgesehen" ist, einen eigenen Kernel zu
> bauen und zu fahren.

Ich kann das durchaus nachvollziehen. Gerade die Enterprise
Distributionen sollen natürlich so lange wie möglich laufen und nicht
alle paar Wochen neue Kernel spendiert bekommen. Das ist schon klar.

> Ob es sich lohnt? Gegenfrage: Reicht Dir nicht eine Zertifizierung 
> nach EAL4 (e.g.), die CentOS ja quasi "erbt"?

grsec geht einen Schritt weiter und patcht den Kernel mit einigen
netten Sicherheitsfeatures. Mir geht es dabei gar nicht um das
Arbeiten zur Laufzeit – dafür würde ich auch SELinux nutzen, weil das
RBAC des grsec schon recht komplex ist. Nur bietet SELinux eben nicht
die verbesserten Kernel Eigenschaften an. Das kann man ganz hübsch in
dieser Tabelle sehen (die natürlich auch von grsec stammt und deswegen
durch deren Brille gesehen werden muss):

https://grsecurity.net/compare.php

Im Kern geht es mir bei grsec mehr um den Schutz vor bösartiger (oder
fehlerhafter) Software, als vor Angriffen. Aber letztlich ist das auch
kein Ausschlusskriterium. Ich habe auch kein Problem damit, CentOS mit
dem Standardkernel zu betreiben.


Mehr Informationen über die Mailingliste CentOS-de