>вот тут некий paxuser с пеной у рта доказывал что только применяя grsecurity и hardened патчи можно защитить ядро, и вообще дальше взлома php скрипта хацкеры никуда не должны были пробраться.Реально защитить систему могут только своевременные обновления в сочетании с продуманной политикой контроля доступа (лучше всего мандатный контроль + контейнеры + правильные права/acl на файловой системе). А совсем для параноиков есть железобетонный метод - xen/kvm.
>И тогда чем это лучше чем техники применяемые в OpenBSD?
В опенке применяется, по сути, всего одна техника - предельное урезание функциональности. Меньше кода - меньше потенциальных дыр. В большинстве случаев такая практика не дает оптимального результата, т.к. людям не нужен мега-защищенный, но ничего не умеющий сервер.
Но путь, выбранный grsecurity - "больше глюков, больше паник, и враг не пройдет" - все равно выглядит гораздо менее привлекательно.