Salut à tous,
Grsecurity est utilisé assez couramment pour patcher des kernel Debian il semble.
Si ce patch améliore sensiblement la sécurité des noyaux, pourquoi Debian ne patche pas ses noyaux avec GRsecurity par défaut ?
Il y a de lourds inconvénients ?
Merci
Déjà, le noyau linux n’est pas le systême GNU, donc un si tu juges que le patch grsec devrait être intègré dans le noyau, pains toi auprés de transmeta, pas de debian. kfreebsd ou hurd n’ont pas besoin de ce patch. 
Ensuite, la vérification >à posteriori< des conditions d’execution d’un pgm pour valider sa sureté a un coût non négligeable (en terme de réactivité, notament pour vérifier la surveillance de la pile pour éviter les dépassements) dont la majorité des utilisateurs n’a pas besoin. On peut ajouter que le grsec limite les fonctionnalités de plein de mécaniques utiles dans beaucoup d’applications serveur (voir les features désactivées concernant le chroot ici: grsecurity.net/features.php). De plus, le patch est multiforme: il faut aprés l’avoir appliqué configurer des options de compil du noyau, et plusieurs des options apportées par grsec sont mutuellement exclusives. Comment alors choisir les options pour l’usage des non avertis ?
Je suis d’accord que le noyau n’est pas le système GNU.
Mais Debian patch bien les sources officielles des noyaux avec ses propres patchs.
Donc ma question était de savoir pourquoi au passage, grsecurity n’était pas appliqué.
La réponse est dans la suite de ce que tu as dis: lourd impact en terme de perfo et de fonctionnalités.
Merci
Il faudrait pas oublier que debian permet aussi d’utiliser entre autre le noyau netBSD et je crois savoir qu’il existe un projet pour celui d’OpenBSD.
il y a aussi une debian/hurd