Расскажите пожалуйста про Grsecurity

Поскольку толп экспертов не наблюдается, подкину своё небольшое ИМХО.

Года три назад использовал на раче, штука мощная, но киллер фичи для себя я не нашёл. Песочницы организовывать для приложений - так это из пушки по воробьям, оно рассчитано на защиту системы целиком. Глобальное неудобство - так это ядро каждый раз патчить. На раче это удваивает геморрой после обновления ядра, а они там постоянно.

Перелез сначала на tomoyo, посидел на нём полгода, исплевался, перелез на apparmor, сменил рач на дебиан и с тех пор настраиваю песочницы раз в полгода.

Хотя pax'овские патчи я хотел бы увидеть в ванильном ядре, там много вкусного.

А чем tomoyo лучше AppArmor оказался? Сам думаю, что заюзать на арче.

В генте есть sys-kernel/hardened-sources - GrSecurity+PAX включены, так что проблема с патчингом уже решена.

А так да, писать политики бывает утомительно, обучение - не панацея - бывает много лишнего выдаёт. Но писать политики ТОЛЬКО вручную - это надо совсем упороться.

Я сейчас GrSecurity в продакшене не юзаю, только PaX, и то - не везде