用Grsecurity保护Debian内核

Question

然而，我想用Grsecurity来保护我的内核；我已经对它进行了研究，并找到了一些教程，但不太确定。我读到你需要用香草内核替换你现在的内核。哪个是未修改的默认Linux内核，但是用Vanilla内核替换Debian包含的当前内核好吗？这会不会导致更新出现问题，没有得到所有的更新，对Debian没有最佳的优化，……？

如果我将它替换为一个香草的一个，它是容易更新，还是我需要检查香草网站每次更新，然后手动编译它？

因此，简而言之，用Grsecurity保护我的内核并解决香草麻烦是个好主意吗？这个Debian页面说性能并没有那么困难，而且有一个可以轻松更新它的存储库；这一天仍然是这样吗？

有人在这方面有经验，还是自己做过？

谢谢!

Answer 1

Stephen比我更快，如果您想要安装linux-image-grsec-amd6，而不需要使用make-kpkg进行内核编译和内核包创建，那么他的回答方法是可行的。

但是，在使用grsecurity时，有一些东西可能会中断：

• 冬眠可以打破(与CONFIG_GRKERNSEC_KMEM、CONFIG_PAX_MEMORY_SANITIZE和CONFIG_RANDOMIZE_BASE的冲突)；
• Xen和virtualbox可以中断(与CONFIG_PAX_KERNEXEC和CONFIG_PAX_MEMORY_UDEREF的冲突)；
• 使用CONFIG_PAX_RAP启用的代码重用攻击保护(RAP)可以打破二进制blobs，如nvidia驱动程序；
• 由于非法的内存访问，broadcom-sta-dkms可能无法编译；

所有这些都是在Arch Grsecurity wiki页面上列出的。在家里，我决定使用grsecurity，我不使用nvidia专有驱动程序(但是安装了该品牌的一张卡)。您必须确保您的发行版在grsec上启用了哪些参数，并查看它是否适合您的需要(是否可以对某些特性进行权衡)。

如果您采用打包/修补自己的香草内核的方法，那么您需要不断更新内核，并使用Debian自己的工具为linux-image、kernel-source和kernel-headers创建包。

相关资料：

• 使用Grsecurity增强桌面的Debian
• 用于Debian的grsecurity源代码安装脚本

Answer 2

wiki页面提到了在不稳定环境中打包的grsec内核；这些代码现在可以通过靠背提供给Debian 8 (Jessie)。要安装它们，添加适当的存储库：

echo deb http://http.debian.net/debian jessie-backports main > /etc/apt/sources.list.d/jessie-backports.list

(作为root)

apt-get update

最后，安装内核和适当的工具：

apt-get -t jessie-backports linux-image-grsec-amd64 gradm2

(假设您运行的是amd64)。这将安装一个最近的grsec内核，并保持它的更新。

请注意，您可能需要调整一些设置才能使您的grsec系统正常运行，所以请保持一个非grsec内核.