しかし、私のカーネルを保護するためにGrsecurityを使用したいと思います。これを調べて、いくつかのチュートリアルを見つけましたが、わかりません。現在、カーネルをバニラカーネルに置き換える必要があることを読んでいます。これは変わらないデフォルトのLinuxカーネルですが、Debianに含まれている現在のカーネルをバニラカーネルに置き換えるのはお勧めできませんか?これはアップデートの問題を引き起こし、すべてのアップデートを受け取らないか、Debianを最適に最適化できなくなりますか?
バニラに置き換えると更新が簡単になりますか、それとも更新のために毎回バニラのウェブサイトを確認してから手動でコンパイルする必要がありますか?
つまり、Grsecurityでカーネルを保護し、バニラの問題を解決するのは良い考えでしょうか? この Debian ページパフォーマンスの低下がそれほど深刻ではなく簡単に更新できるリポジトリがあると言いましたが、それが今日でも本当ですか?
このようなことを経験したことがありますか、自分でやったことがありますか?
ありがとうございます!
ベストアンサー1
スティーブンは私よりも速いです。linux-image-grsec-amd6
カーネルを含まずにコンパイルして使用したい場合make-kpkg
。
ただし、使用中にいくつかの問題が発生する可能性がありますgrsecurity
。
- 休止状態が中断される可能性があります(
CONFIG_GRKERNSEC_KMEM
、とのCONFIG_PAX_MEMORY_SANITIZE
衝突CONFIG_RANDOMIZE_BASE
)。 - Xenとvirtualboxが競合する可能性があります(
CONFIG_PAX_KERNEXEC
および競合CONFIG_PAX_MEMORY_UDEREF
)。 - アクティブなコード再利用攻撃保護(RAP)を使用すると、ドライバなどのバイナリブロブが
CONFIG_PAX_RAP
破損する可能性があります。nvidia
broadcom-sta-dkms
違法なメモリアクセスが原因でコンパイルが失敗する可能性があります。
これらはすべてArch Linuxにリストされています。Grsecurity Wikiページ。自宅ではgrsecurityを使用することに決め、nvidia独自のドライバを使用していません(しかし、そのブランドのカードをインストールしました)。ディストリビューションがgrsecでどのパラメータを有効にしているかを確認し、それが要件を満たしていること(または特定の機能を妥協できるかどうか)を確認する必要があります。
linux-image
独自のデフォルトカーネルをパッケージ/パッチすることを選択した場合は、カーネルを更新し続けるためにDebian独自のkernel-source
ツールを使用する必要がありますkernel-headers
。
関連情報: