我是 root@anapnea.net，而 grsec 是我晚上可以入睡的原因。

作为 grsec 阻止的漏洞利用示例，您可以查看几乎所有最近的内核漏洞。Stock 漏洞利用根本不适用于 grsec 内核。

作为 grsec （尤其是 UDEREF）阻止的漏洞的示例，您拥有最近的 x86_32 本地根。

Grsec（减去 rbac）不会对“逻辑”问题（shellshock、hearthbleed、LD_* 问题）做任何事情，但是与强化的工具链一起，它会使某些类别的错误更难利用。

它确实有助于解决内核错误。

然后你有RBAC。Rbac 是一个 MAC（强制访问控制）系统，例如 SELinux 或 AppArmor，它提供了进一步的保护，甚至可以从 root 开始。

另外，grsec 将允许你启用一些漂亮的限制，如果你能忍受的话，这些限制非常有用。主要有：

• 套接字限制（无监听/无连接/无）
• /proc 可见性限制（每个用户）
• 更强的 chroot
• 将可运行程序限制为仅经过 root 批准的程序

重点是：grsec 将使您的系统更安全，但即使在最安全的系统上也会发现错误。

大多数权限提升漏洞不适用于 grsec 内核。Grsecurity 通过比操作系统更多地限制进程来消除漏洞利用向量。

这并不意味着没有人可以访问加固的服务器。如果有人侵入服务器，由于 grsec 施加的限制，他将无法做任何事情。