Русская Википедия:Grsecurity

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Шаблон:Программа Grsecurity — проприетарный набор модификаций (патч) для ядра Linux, который включает в себя некоторые улучшения, связанные с безопасностью, включая защиту памяти ядра и пользовательских процессов, принудительный контроль доступа, рандомизацию расположения объектов в памяти, ограничения доступа к файлам в /proc, ограничения доступа к системным интерфейсам внутри chroot() jail, ограничения на использование серверных и клиентских сетевых сокетов, а также дополнительные возможности аудита активности процессов и некоторые другие функции. Типичной областью применения являются системы, которые могут принимать сетевые подключения из потенциально опасных источников: такие как серверы различных сетевых служб (например, веб-серверы) или серверы, предоставляющие своим пользователям shell-доступ. Патч grsecurity с 2001 года выпускался на условиях лицензии GPL версии 2, и включает в себя набор патчей PaX. С 26 апреля 2017 года исходные коды grsecurity и связанных патчей больше не доступны для скачивания, а их распространение производится только на платной основе[1]. Создатель и ведущий разработчик grsecurity — Brad Spengler, также известный под псевдонимом spender.

Лицензирование и судебные споры

Изначально патч grsecurity являлся общедоступным и свободным ПО. В 2015 году, после споров о некорректном использовании торговой марки grsecurity автор патча решил прекратить свободное (неограниченное) распространение кодов стабильной версии патча для всех желающих[2][3]. Тестовые версии grsecurity[3] в виде единого патча без разбивки на серии на тот момент оставались общедоступными.

С 26 апреля 2017 года был закрыт свободный доступ к тестовым версиям патча grsecurity (а также PaX), вероятно из-за конфликта с KSPP[4] или Wind River[5]. Последней общедоступной версией стал тестовый патч для ядра Linux 4.9 версии. Более новые версии становятся доступными лишь для коммерческих подписчиков компании "Open Source Security Inc" (разработчик патча с 2008 года, штат Пенсильвания)[1][6][4], в рамках отдельного соглашения о предоставлении услуг[7][8][9].

В разъяснениях компания OSSI указала, что на патчи продолжает действовать лицензия GPLv2 со всеми правами и обязанностями. [10] Однако коммерческое соглашение между пользователем и корпорацией содержит условие о лишении клиентов доступа к будущим версиям патча в случае, если пользователь применяет права, данные ему GPL для использования (установки и распространения) патчей grsecurity в обход соглашения[11].

В июне 2017 года Брюс Перенс, известный своим участием в движении СПО, публично высказал свое мнение о том, что третьим лицам следует избегать покупки продукта "Grsecurity" на сайте grsecurity.net. Он указал что патч является производным продуктом от кода ядра Linux и должен распространяться на условиях лицензии GPL версии 2 или совместимой, как это происходило с прошлыми версиями. На тот момент патч стал коммерческим продуктом, распространяемым лишь за плату и, по соглашению, пользователи предупреждаются что если они будут распространять патч (право, данное им GPLv2), то они будут лишены доступа к последующим версиям патча, что, по суждению Брюса, якобы может нарушать Секцию 6 Публичной Лицензии, якобы несет риски прекращения действия лицензии и соответственно нарушения Авторских и Иных прав (пиратства).[12][13] Высказывание Перенса было опубликовано в его личном Интернет-блоге, в почтовой рассылке проекта Debian (главой которого Перенс ранее являлся)[14], а затем активно обсуждалось на Интернет-форуме Slashdot[15].

17 июля 2017 года компания OSSI (состоящая из одного сотрудника) инициировала против Брюса Перенса судебное разбирательство (как вспоминал Спенглер[16], из-за отсутствия иных вариантов, увидев в его высказывании диффамацию и потенциальный значительный ущерб репутации и бизнес-интересам своей компании[17][18][19]). Компания оспаривала следующие два высказывания, считая их ложными фактами:

Шаблон:Начало цитаты 

   “It’s my strong opinion that your company should avoid the Grsecurity product sold at grsecurity.net because it presents a contributory infringement and breach of contract risk.” 
   “As a customer, it’s my opinion that you would be subject to both contributory infringement and breach of contract by employing this product in conjunction with the Linux kernel under the no-redistribution policy currently employed by Grsecurity.”

Шаблон:Конец цитаты

В декабре 2017 года магистрат-судья Laurel Beeler (Сан-Франциско) постановил что Перенс высказал мнение, допускаемое законами США, и отверг заявление о диффимации[20]. Дальнейшие судебные споры продолжались около 3 лет и, после нескольких апелляций завершились в 9-й схемеШаблон:Термин апелляционных судов США (дело "Open Source Security v. Perens"[21])[15].) Суд отклонил претензии к Брюсу и взыскал с Open Source Security и Брэда Спенглера судебные расходы в размере около 260-300 тысяч долларов[22][20][23]. Вопросы о том, нарушаются ли условия лицензии GPL, судами не рассматривался.

Судебный спор назван одним из 10 важнейших юридических дел в области открытого ПО в 2017 году[24].

PaX

Шаблон:Нет ссылок в разделе Одним из основных компонентов grsecurity является PaX, реализующий несколько механизмов защиты от эксплуатации уязвимостей (например, через переполнение буфера), включая рандомизацию расположения объектов в памяти (address space layout randomization, ASLR) и ограничения на выполнение произвольного машинного кода со страниц, доступных процессу в режиме записи (в частности, стека).

Шаблон:Нет АИ 2

Шаблон:Нет АИ 2


Критика

Один из соавторов и мейнтейнеров проекта Ядро Линукс негативно высказывался о подходах, практикуемых авторами патча grsecurity в части программного кода, низко оценив сам проект[25][26].

Корпорация grsecurity была замечена в неоднозначном поведении в социальных сетях в отношении пользователя, сообщившего о программном недочете в патче в 2016 году[27].

Примечания

Шаблон:Примечания

См. также

Литература

Ссылки

Шаблон:Нет иллюстрации Шаблон:Нет ссылок

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. 1,0 1,1 Шаблон:Cite web
  2. Шаблон:Cite web
  3. 3,0 3,1 Шаблон:Cite web
  4. 4,0 4,1 Шаблон:Cite web
  5. Шаблон:Cite web
  6. Шаблон:Cite web
  7. Шаблон:Cite web
  8. Допсоглашение по данным Б.Перенса, версия опубликована им в июне 2017 года Шаблон:Wayback Шаблон:Ref-en
  9. Шаблон:Cite web
  10. https://grsecurity.net/agree/agreement_faq Шаблон:Wayback "You may use, copy, modify, and distribute any Linux kernel modified by combination with grsecurity patches under the terms of GPLv2."
  11. https://grsecurity.net/agree/agreement_faq Шаблон:Wayback "We reserve the right to revoke access to future updates of grsecurity patches and changelogs at any time for any reason. Our reasons for termination may include: ... Distribution or installation of grsecurity patches in violation of the terms of the access agreement"
  12. Warning: Grsecurity: Potential contributory infringement and breach of contract risk for customers Шаблон:Wayback, 2017-06-28 Шаблон:Ref-en "Grsecurity’s Stable Patch Access Agreement adds a term to the GPL prohibiting distribution or creating a penalty for distribution. GPL section 6 specifically prohibits any addition of terms."
  13. Шаблон:Cite web
  14. debian-user: Re: Why does no one care that Brad Spengler of GRSecurity is blatantly violating the intention of the rightsholders to the Linux Kernel? Шаблон:Wayback, 2017-07
  15. 15,0 15,1 Шаблон:Cite web
  16. Шаблон:Cite web
  17. Шаблон:Cite web
  18. Шаблон:Cite web
  19. Шаблон:Cite web
  20. 20,0 20,1 Grsecurity maker finally coughs up $300k to foot open-source pioneer Bruce Perens' legal bill in row over GPL Шаблон:Wayback / The Register Шаблон:Ref-en
  21. D.C. No. 3:17-cv-04002-LB Шаблон:Wayback [1] [2]
  22. Шаблон:Cite web
  23. Шаблон:Cite web
  24. Шаблон:Cite web
  25. Шаблон:Cite web
  26. Шаблон:Cite web
  27. Шаблон:Cite web
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Grsecurity&oldid=8666211