PaX是什么?
PaX is a patch to the Linux kernel that provides hardening in three ways:
- Judicious enforcement of non-executable memory
- Address Space Layout Randomization (ASLR)
- Miscellaneous hardening on stack- and memory handling
GrSecurity是什么?
Grsecurity :linux内核加固补丁集项目 (Brad Spengler 开发的)
PaX和GrSecurity之间关系
GrSecurity社区发现PaX社区和他们关注的内容非常类似,所以就合并了。
在很长的一段时间里PaX社区主要关注memory corruption,而GrSecurity则实现其他的功能包括RBAC。
但后来2个社区的工作开始模糊了:包括UserCopy, StackLeak, etc..都是整个Grsecurity/PaX共同实现的特性
Grsecurity is an extensive security enhancement to the Linux kernel that defends against a wide range of security threats.
The PaX project is included, hardening both userspace applications and the kernel against memory corruption-based exploits.
“传统” 的基于 LSM(SELinux/AppArmor/etc) 不同的是 PaX/GRsecurity 不仅是具备 RBAC 对权限以及信息流的控制,而是通过一系列的安全改进让 Linux 内核在为用户空间提供防御能力 (ASLR/PAGEEXEC/SEGEXEC/etc) 的同时内核本身的防护能力也大大加强,PaX/GRsecurity 作为整个系统安全防御领域最重要的起源,不仅仅影响了 Linux 内核,也大大的影响了 Windows 以及 BSD 内核的安全特性,甚至影响了包含 Intel 和 ARM 系列处理器在内的硬件厂商。
GrSecurity补丁包括PaX和其他各种基于安全性的功能,其中一些项以多种形式最终出现在Linux内核主线中。
但是,从2017年开始,GrSecurity刚刚将其内核补丁和二进制文件仅提供给付费客户。
2015 年华盛顿邮报向公众曝光了 Linux 安全真相后, Linux 内核社区迫于 Linux 基金会的压力成立了 KSPP(内核自防护项目),KSPP 的参与者大多为 Linux 基金会的客户(Google/RedHat/Intel/etc),但效果不如PaX/GrSecurity。
参考:
https://pax.grsecurity.net/docs/
HardenedLinux: The way to the Ark :https://hardenedlinux.github.io/announcement/2017/04/29/hardenedlinux-statement2.html