Quelqu'un a-t-il une expérience avec "grsecurity" ?
Oui moi.
Grsecurity est un pbac, il ajoute des acl aux processus (sujet) du système.
En terme de granularité, SELinux est meilleur mais la contrainte c'est qu'il est plus difficile à configurer
Grsecurity est plus accessible, mais, comme il agit en tant que patch noyau, il est moins maintenable (faut recompiler le noyau à chaque fois)
AppArmor, vis à vis des autres, ne sert à rien
Attention : il faut bien différencier Grsecurity de PAX. L'un est un MAC tandis que l'autre est un mécanisme de protection contre l'exploitation. On peut appliquer GrSec sans PAX et inversement.
(je n'ai pas lu le lien, je le ferai ce soirà)