- 综合排序
- 最热优先
- 最新优先
- 来自专栏北京马哥教育
2017年的Linux内核防护依然脆弱
的各种特性以获得各自雇主那里的 KPI 和 credit,各种混乱的代码合并到了 Linux 主线影响了 PaX/Grsecurity 的正常开发,这也是 PaX/Grsecurity 关闭公开访问 是如何修复时 Linus 直接回复了 Grsecurity 是垃圾,有趣的是当 PaX/Grsecurity 的作者之一 Spender 曝光了一些内核最近的 silent fix 以后 Linus 更讽刺的是, stack clash 的部分修复居然来自 PaX/Grsecurity 于 2010 年的代码,Linus 说 PaX/Grsecurity 是垃圾也等同于打 KSPP 的脸,因为 KSPP 即使在这次论战中,Linus 也一贯地表达 PaX/Grsecurity 应该拆分代码以达成直接贡献 Linux mainstream 的目标,避免其他人去猜测实现原理及拆分代码;而 PaX/Grsecurity ”KSPP 大多时候只是在重复的抄袭 PaX/Grsecurity 的各种特性以获得各自雇主那里的 KPI 和 credit,各种混乱的代码合并到了 Linux 主线影响了 PaX/Grsecurity
1.5K70发布于 2018-05-03 - 来自专栏Debian中国
2017年的Linux内核防护依然脆弱
CII(基础架构联盟)管理,其吸纳了来自诸多大厂商(Google, RedHat, Intel, ARM 等)的工程师进行联合工作,可惜的是两年的时间过去了,KSPP 大多时候只是在重复的抄袭 PaX/Grsecurity 的各种特性以获得各自雇主那里的 KPI 和 credit,各种混乱的代码合并到了 Linux 主线影响了 PaX/Grsecurity 的正常开发,这也是 PaX/Grsecurity 关闭公开访问 是如何修复时 Linus 直接回复了 Grsecurity 是垃圾,有趣的是当 PaX/Grsecurity 的作者之一 Spender 曝光了一些内核最近的 silent fix 以后 Linus 因为今天所谓的内核 “社区” 主要是由一帮大厂商的雇员组成,没有人有义务免费的贡献代码去帮助那些需要从雇主那里获得 KPI 的工程师,更讽刺的是, stack clash 的部分修复居然来自 PaX/Grsecurity 于 2010 年的代码,Linus 说 PaX/Grsecurity 是垃圾也等同于打 KSPP 的脸,因为 KSPP 还在继续抄袭 PaX/Grsecurity,而针对 Linux 内核的漏洞利用是否大规模被恶代使用只是曝光与否的问题
99210发布于 2018-12-20 - 来自专栏FreeBuf
如何检测Linux内核中的安全增强选项
在检查的过程中,kconfig-hardened-check.py 将根据下列参考配置来进行检查: 1、KSPP推荐设置; 2、CLIP操作系统内核配置; 3、最新公开的grsecurity修复方案; | cut_attack_surface | OK CONFIG_PAGE_OWNER | is not set |grsecurity| | OK CONFIG_BINFMT_AOUT | is not set |grsecurity| cut_attack_surface | | FAIL: "y" CONFIG_UPROBES | is not set |grsecurity| cut_attack_surface | FAIL: "y" CONFIG_GENERIC_TRACER | is not set |grsecurity| cut_attack_surface
2.8K20发布于 2021-07-30 - 来自专栏安恒信息
OpenSSH SFTP 远程溢出漏洞 安恒信息紧急预警
Grsecurity/PaX直接禁止了/proc/pid/mem的可写,所以如果您的生产环境中部署了Grsecurity/PaX的话这个漏洞可以不用担心。
1.6K70发布于 2018-04-10 - 来自专栏FreeBuf
Offset2lib攻击测试:看我如何全面绕过64位Linux的内核防护
Grsecurity/PaX:PaX从一开始就主要关注如何防御和检测memory corruption,后来Grsecurity社区发现PaX和他们所关注 的非常类似,所以就合并了。 文中的攻击只有它不受影响,但是只有Gentoo和Debian Mempo提供了直接使用Grsecurity/PaX的 途径。 1.利用PaX补丁预防漏洞 在众多安全解决方案中,来自GRSecurity社区的PaX补丁,它将可执行文件放置在与其他共享对象相关的随机地址上。
1.8K90发布于 2018-02-05 Linux内核v4.20安全特性解析:栈清理插件、用户空间漏洞防御等核心技术
堆栈清理插件(STACKLEAK)Alexander Popov将grsecurity的STACKLEAK插件移植至上游内核。
27610编辑于 2025-08-11- 来自专栏FreeBuf
潜伏长达11年之久的Linux内核漏洞”Phoenix Talon”曝光
或者用户可以使用Grsecurity/PaX 对内核加固。
90080发布于 2018-02-28 - 来自专栏FreeBuf
CPU又曝大bug,涉及英特尔、AMD、ARM
直线投机攻击 在与披露相吻合的消息中,grsecurity发布了漏洞详细信息和 PoC,该 PoC 可以通过新的直线推测 (SLS) 攻击方法从AMD处理器泄漏机密数据。
64110编辑于 2022-04-11 - 来自专栏安智客
MIT研究人员正研发基于RISC-V的安全芯片方案
http://keystone-enclave.org/ https://github.com/hardenedlinux/grsecurity-101-tutorials/blob/master/grsec-code-analysis
1.4K30发布于 2018-07-30 - 来自专栏开源服务指南
构建精致 Chrome 插件:开箱即用的 TypeScript 模板 | 开源日报 No.51
该工具基于 KSPP 推荐设置、CLIP OS 内核配置、grsecurity 补丁以及来自 Linux 内核维护者的直接反馈等,提供了一系列安全加固建议。
74030编辑于 2023-10-08 - 来自专栏网络安全技术点滴分享
如何轻松编写Rootkit:Linux内核系统调用拦截技术解析
capstone反汇编libcptrace(2):用户空间子进程监控方案,存在调试器冲突和性能问题eBPF/kprobes:仅支持参数记录,无法实现实际拦截技术说明:本文介绍的CR0写解锁机制源自PaX/grsecurity
28500编辑于 2025-08-14 - 来自专栏开源部署
保护Linux服务器的常用方法
Linux内核加固 这里我建议大家直接去查看PaX和grsecurity补丁。前不久被曝出的Spectre和Meltdown漏洞,也为我们的内核安全问题敲响了警钟。 查看:grsecurity.net,Linux 内核安全卫士,内核自我保护项目 移除不必要的设备 如果你没有使用Thunderbolt,Firewire,无线网卡或任何具有DMA(直接内存访问)模式的模块
2.5K40编辑于 2022-07-12 - 来自专栏iOSDevLog
Docker Cheat Sheet
您应该首先使用编译有grsecurity / pax的不稳定补丁的内核,例如[Alpine Linux](https://en.wikipedia.org/wiki/Alpine_Linux)。 如果你在生产中使用grsecurity,你应该为[稳定补丁](https://grsecurity.net/announce.php)提供[商业支持](https://grsecurity.net/business_support.php
1.8K20发布于 2018-09-20 - 来自专栏CS实验室
[译] SIGSEGV:Linux 容器中的分段错误(退出代码 139)
例如,在 Linux 上,您可以使用 grsecurity 实用程序详细记录 SIGSEGV 信号,以监控相关的安全风险,例如缓冲区溢出。
10.7K10编辑于 2022-08-01 - 来自专栏和baron一起学习TKE
[docker](九)docker -- 容器安全
4、GRSecurity内核安全增强工具 同一台宿主机上的容器是共享内核、内存、磁盘以及带宽等,所有容器都在共享宿主机的物理资源,所以Linux内核提供了namespace来进行资源隔离,通过cgroups GRSecurity是一个对内核的安全扩展,通过智能访问控制来阻止内存破坏,预防0day漏洞等。GRSecurity对用户提供了丰富的安全限制,可以提供内存破坏防御、文件系统增强等各式各样的防御。
2.8K10发布于 2019-12-03 - 来自专栏FreeBuf
黑客最爱的操作系统 TOP 15
Pentoo内核有grsecurity和PAX加固,和一些其他的补丁——包括从加固的toolchain编译的二进制文件。系统中的很多工具有最新的nightly(每日构建)版。
3.1K60发布于 2018-02-07 - 来自专栏硬核项目经理的专栏
Docker容器与容器云
H.Docker与容器安全 1.Docker安全问题 磁盘资源限制问题 容器逃逸问题 容器DoS攻击与流量限制问题 超级权限问题 2.Docker安全的解决方案:SELinux、磁盘限额、宿主机内容器流量限制、GRSecurity
3.5K22发布于 2019-08-06 - 来自专栏北京马哥教育
如何保证Linux服务器的安全
你可能希望查询 IPV6 安全,改变你的SSH端口(通过隐藏达到安全目的),安全内核(SELinux和GRSecurity),跟踪系统改变,并且如果你的服务器曾经不安全或已经在线相当长时间了的话,全面检查一番
2.3K70发布于 2018-05-02 - 来自专栏运维之美
万字总结,体系化带你全面认识 Linux 系统安全强化
Grsecurity Grsecurity 是一组内核修补程序,可以大大提高内核安全性。这些补丁曾经可以免费获得,但是现在需要购买了。如果可用,则强烈建议您获取它。 Grsecurity 提供了最新的内核和用户空间保护。 内核运行时防护 Linux Kernel Runtime Guard(LKRG)是一个内核模块,可确保运行时内核的完整性并检测漏洞。 另外,应用内核强化补丁,例如如上所述的 linux-hardened 或 grsecurity。 发行版编译的内核还具有公共内核指针/符号,这对于漏洞利用非常有用。
3.1K30发布于 2021-07-01 - 来自专栏IT运维技术圈
Linux系统安全加固指南(万字长文)
Grsecurity Grsecurity是一组内核修补程序,可以大大提高内核安全性。这些补丁曾经可以免费获得,但是现在需要购买了。如果可用,则强烈建议您获取它。 Grsecurity提供了最新的内核和用户空间保护。 内核运行时防护 Linux Kernel Runtime Guard(LKRG)是一个内核模块,可确保运行时内核的完整性并检测漏洞。 另外,应用内核强化补丁,例如如上所述的linux-hardened或grsecurity。 发行版编译的内核还具有公共内核指针/符号,这对于漏洞利用非常有用。
4.3K20编辑于 2022-06-27
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号