<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hello Seth, <br><br>Wow, thank You very much for an amazing answer. You are very smart person. Thanks to You, I'd learned so many things about AppArmor, security etc. I really appreciate it. Once again: thank You! <br><br>>> (...) which will increase the chances that an information leak will <br>>> allow bypassing the minimal gains in security due to KASLR. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">So, are You trying to say, that enabling "kaslr" does not improve system security? After adding "kaslr" option to the '/etc/default/grub' file, generate a grub2 config file via update-grub(8) command, two values "commit_creds" and "prepare_kernel" (from '/proc/kallsysms' file) were randomized each time, during system starts. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">However, without "kaslr", both values are the same - after every system start. Additionally, I've also used - recommended by Developers - 'kptr_restrict' and 'dmesg_restrict'. So maybe it is not so bad on x86 architecture? These values can be checked with this command: <br><br>[~]# cat /proc/kallsyms | grep ' commit_creds\| prepare_kernel' <br>ffffffdc08e960  T commit_creds <br>ffffffdc08ed30  T prepare_kernel_cred <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">In this case, "kaslr" is in use. That's just an example. As I already mentioned: without KASLR, both values have the same value. By the way; running mentioned command, as a normal user (not root or via sudo(8)) shows '00000000' in both cases. But that's just not important information. <br><br>>> ASLR for applications is far more useful than ASLR for a <br>>> kernel because (...) <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I think, that You've made a little mistake here; You have used ASLR twice, which make no sense to me. Can you write, which - KASLR or ASLR, is far more useful for applications than [WHAT] for a kernel? :- ) <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I know about RAP and I think, that it's pretty amazing. Seth, I would like to thank You for all these links to slides etc. I will certainly read this. For sure. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div><div class="gmail_default" style="font-family:verdana,sans-serif">So, according to all this things about KASLR (and especailly "(...) increase the chances that an information leak will allow bypassing the minimal gains in security due to KASLR." etc.), I want to ask: can I use"kaslr" with regards to everything what You had wrote about this? <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Thanks Seth, best regards. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br><span id="result_box" class="short_text" lang="en"><span class=""></span></span></div></div>