zoukankan html css js c++ java

Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)

参考文档:

http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecurity.html

http://www.linuxidc.com/Linux/2015-03/115509.htm

SELinux

https://www.nsa.gov/what-we-do/research/selinux/

https://github.com/SELinuxProject

AppArmor

grsecurity

http://grsecurity.net

SELinux	AppArmor	grsecurity
Automated	No (audit2allow and system-config-selinux)	Yes (Yast wizard)	Yes (auto traning / gradm)
Powerful policy setup	Yes (very complex)	Yes	Yes
Default and recommended integration	CentOS / RedHat / Debian	Suse / OpenSuse	Any Linux distribution
Training and vendor support	Yes (Redhat)	Yes (Novell)	No (community forum and lists)
Recommend for	Advanced user	New / advanced user	New users
Feature	Pathname based system does not require labelling or relabelling filesystem	Attaches labels to all files, processes and objects	ACLs

PaX是针对linux kernel的一个加固版本的补丁，它让linux内核的内存页受限于最小权限原则，是这个星球上有史以来最极端和最优秀的防御系统级别0day的方案，第1版的设计和实现诞生于2000年，那可是一个没有ASLR/RELRO/NX/CANARY/FORITY/PIE都没有的年代，这些今天意义上的现代mitigation技术不管是linux/windows/macosx都多少抄袭和模仿了PaX的设计和实现，但有很多朋友会问：既然这东东这么厉害，为什么不在linux mainline里？当年Linux内核不收PaX进入upstream是因为很多人觉得PaX不是那么的好维护，之后linux内核推出了LSM( Linux Security Module)，LSM利用了一堆CAPABILITY的机制提供了一些限制用户态程序访问控制的接口，SELinux和Apparmor就是基于LSM开发的，注意LSM并不是一个传统意义上的linux kernel module，至少在2个地方不同于普通module:

1) 必须在bootloader启动内核时启动，不能在内核加载完后启动。
2) 不能同时启动2个LSM的实现。

查看全文

相关阅读:
贪心：字典树openjudge1799-最短前缀
 BFS：noi6044鸣人与佐助
 广搜：codevs-3344(初步bfs)
2016noip感想(普及组）
NOI-Openjudge-8462-大盗阿福
 20155326 第12周课堂实践总结（二）String类和Arrays类的学习
 20155326 第12周课堂实践总结（一）
20155326 实验三敏捷开发与XP实践
 20155326 2016-2017-2 《Java程序设计》第十周学习总结
 2016-2017-2 20155326实验二《Java面向对象程序设计》实验报告

原文地址：https://www.cnblogs.com/lixuebin/p/10814025.html