Grsikkerhed

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 14. marts 2021; checks kræver 16 redigeringer .
Grsikkerhed
Type Lappe
Skrevet i C [1]
Operativ system linux
Licens GNU GPL 2 [2]
Internet side grsecurity.net

Grsecurity  er et proprietært sæt ændringer ( patch ) til Linux-kernen , som inkluderer adskillige sikkerhedsrelaterede forbedringer, herunder beskyttelse af kernehukommelse og brugerprocesser, tvungen adgangskontrol , randomisering af placeringen af ​​objekter i hukommelsen , filadgangsbegrænsninger i/ proc, begrænsninger for adgang til systemgrænseflader i chroot () fængsel, begrænsninger på brugen af ​​server- og klientnetværkssockets samt yderligere funktioner til revision af procesaktivitet og nogle andre funktioner. Et typisk anvendelsesområde er systemer, der kan acceptere netværksforbindelser fra potentielt farlige kilder: såsom servere til forskellige netværkstjenester (for eksempel webservere ) eller servere, der giver shell -adgang til deres brugere . Grsecurity-patchen er blevet udgivet under GPL- version 2 siden 2001 og inkluderer PaX- patch-sættet . Fra den 26. april 2017 er grsecurity-kildekoder og relaterede patches ikke længere tilgængelige til download, og deres distribution sker kun på betalt basis [3] . Skaberen og hovedudvikleren af ​​grsecurity er Brad Spengler, også kendt som spender.

Licensering og retssager

Grsecurity-patchen var oprindeligt open source og gratis software. I 2015, efter en tvist om den forkerte brug af grsecurity-varemærket, besluttede forfatteren af ​​patchen at stoppe den gratis (ubegrænsede) distribution af koderne for den stabile version af patchen til alle [4] [5] . Testversioner af grsecurity [5] i form af en enkelt patch uden at opdeles i serier på det tidspunkt forblev offentligt tilgængelige.

Siden 26. april 2017 har fri adgang til testversioner af grsecurity patch (samt PaX) været lukket, sandsynligvis på grund af en konflikt med KSPP [6] eller Wind River [7] . Den seneste offentlige udgivelse var en testpatch til Linux-kernen version 4.9. Nyere versioner er kun gjort tilgængelige for kommercielle abonnenter af "Open Source Security Inc" (patchudvikler siden 2008, PA ) [3] [8] [6] under en separat serviceaftale [9] [10] [11] .

I præciseringen indikerede OSSI, at patcherne fortsat er licenseret under GPLv2 med alle rettigheder og forpligtelser . [12] Den kommercielle aftale mellem brugeren og virksomheden indeholder dog en betingelse om at fratage kunder adgang til fremtidige versioner af patchen, hvis brugeren udøver de rettigheder, som GPL har givet ham til at bruge (installere og distribuere) grsecurity patches omgåelse aftalen [13] .

I juni 2017 udtrykte Bruce Perens , kendt for sit engagement i fri software-bevægelsen, offentligt sin mening om, at tredjeparter burde undgå at købe "Grsecurity"-produktet fra grsecurity.net. Han påpegede, at patchen er et afledt af Linux-kernekoden og bør distribueres under betingelserne i GPL version 2 eller kompatibel licens, som det var tilfældet med tidligere versioner. På det tidspunkt var patchen blevet et kommercielt produkt, der kun distribueres mod et gebyr, og efter konvention blev brugerne advaret om, at hvis de videredistribuerede programrettelsen (en rettighed givet til dem af GPLv2), ville de blive nægtet adgang til efterfølgende versioner af patchen, som efter Bruces mening angiveligt kan krænke Section 6 of the Public License, indebærer angiveligt risikoen for licensafslutning og følgelig krænkelse af ophavsret og andre rettigheder (piratkopiering). [14] [15] Perens' kommentarer blev offentliggjort på hans personlige internetblog, på Debian - projektets mailingliste ( hvor Perens tidligere var leder ) [16] og derefter aktivt diskuteret på Slashdots internetforum [17] .

Den 17. juli 2017 indledte OSSI (enmand) en retssag mod Bruce Perens (som Spangler huskede [18] , på grund af manglen på andre muligheder, idet han i hans udtalelse så bagvaskelse og potentiel betydelig skade på omdømmet og forretningsinteresserne hos hans firma [ 19] [20] [21] ). Virksomheden bestridte følgende to udsagn og anså dem for at være falske fakta:

"Det er min stærke opfattelse, at din virksomhed bør undgå Grsecurity-produktet, der sælges på grsecurity.net, fordi det udgør en medvirkende krænkelse og risiko for kontraktbrud." "Som kunde er det min mening, at du vil være genstand for både medvirkende krænkelse og kontraktbrud ved at bruge dette produkt sammen med Linux-kernen under den politik, der ikke er videredistribution, som i øjeblikket anvendes af Grsecurity."

- [3]

I december 2017 afgjorde dommer Laurel Beeler (San Francisco), at Perens udtrykte en mening, der var tilladt i henhold til amerikansk lov, og afviste påstanden om ærekrænkelse [22] . Yderligere retssager fortsatte i omkring 3 år og endte efter adskillige klagesager i 9. ordning[ ukendt udtryk ] af de amerikanske appeldomstole (sag "Open Source Security v. Perens" [23] ) [17] .) Retten afviste kravene mod Bruce og inddrev fra Open Source Security og Brad Spangler sagsomkostninger i beløbet på omkring 260-300 tusinde dollars [24] [22] [25] . Spørgsmål om, hvorvidt vilkårene for GPL-licensen er overtrådt, er ikke blevet behandlet af domstolene.

Retssagen blev kåret som en af ​​de 10 bedste open source-retssager i 2017 [26] .

PaX

En af hovedkomponenterne i grsecurity er PaX , som implementerer adskillige mekanismer til at beskytte mod udnyttelse af sårbarheder (for eksempel gennem bufferoverløb ), herunder randomisering af placeringen af ​​objekter i hukommelsen (randomisering af adresserumslayout, ASLR) og begrænsninger på udførelse af vilkårlig maskinkode fra sider , der er tilgængelige for processen i skrivetilstand (især stack ).

PaX udvikles af et medlem af grsecurity-udviklingsteamet.

PaX selv er udviklet af et separat team af programmører fra grsecurity.


Kritik

En af medforfatterne og vedligeholderne af Kernel Linux-projektet talte negativt om de tilgange, som forfatterne af grsecurity-patchen praktiserede med hensyn til programkoden, og roste selve projektet [27] [28] .

Grsecurity-selskabet blev set involveret i kontroversiel adfærd på sociale medier vedrørende en bruger, der rapporterede en softwarefejl som en patch i 2016 [29] .

Noter

  1. Grsecurity Open Source-projektet på Open Hub: Languages-side - 2006.
  2. Grensesikkerhed  _
  3. 1 2 grsikkerhed - Sende stafetten . grsecurity.net. Hentet 26. maj 2020. Arkiveret fra originalen 19. maj 2020.
  4. Guld, Jon Grsecurity vil stoppe med at udstede patches, der citerer misbrug af varemærke  . Network World (28. august 2015). Hentet 28. maj 2020. Arkiveret fra originalen 8. november 2020.
  5. 1 2 Hærdede Linux-trofaste Grsecurity trækker pinden efter juridisk  kamp . thereregister.co.uk (27. august 2015). Hentet 28. maj 2020. Arkiveret fra originalen 2. oktober 2018.
  6. 1 2 Grsecurity holder op med at distribuere sine patches gratis . opennet.ru (26.04.2017). Hentet 25. maj 2020. Arkiveret fra originalen 23. september 2020.
  7. Linux-kernesikkerhedsguruer Grsecurity fjerner freeloadere fra  slottet . thereregister.co.uk (26. april 2017). Hentet 28. maj 2020. Arkiveret fra originalen 10. juli 2019.
  8. Jonathan Corbet. Grsecurity bliver privat [  LWN.net ] . lwn.net (4. maj 2017). Hentet 26. maj 2020. Arkiveret fra originalen 1. april 2020.
  9. grsecurity - FAQ om adgangsaftale . grsecurity.net. Hentet 26. maj 2020. Arkiveret fra originalen 1. december 2020.
  10. Yderligere aftale ifølge B. Perens, version offentliggjort af ham i juni 2017 Arkiveksemplar dateret 24. april 2021 på Wayback Machine  (eng.)
  11. Sårbarheder i open source-softwarelicenser, Andrey Savchenko, 2018: "Grsecurity patches ... distribution af kode og binære samlinger er begrænset af en ekstra abonnementsaftale ... grundlæggende distributionsfriheder og modifikation af open source-software er overtrådt" . Hentet 28. maj 2020. Arkiveret fra originalen 1. september 2019.
  12. https://grsecurity.net/agree/agreement_faq Arkiveret 1. december 2020 på Wayback-maskinen "Du må bruge, kopiere, ændre og distribuere enhver Linux-kerne, der er ændret ved kombination med grsecurity-patches i henhold til betingelserne i GPLv2."
  13. https://grsecurity.net/agree/agreement_faq Arkiveret 1. december 2020 på Wayback Machine "Vi forbeholder os retten til at tilbagekalde adgangen til fremtidige opdateringer af grsecurity patches og changelogs til enhver tid af en hvilken som helst grund. Vores årsager til opsigelse kan omfatte : ... Distribution eller installation af grsecurity patches i strid med vilkårene i adgangsaftalen"
  14. " Grsecuritys stabile patch -   adgangsaftale tilføjer et vilkår til GPL, der forbyder distribution eller skaber
  15. Grsecurity overtræder muligvis GPL i sine forsøg på at stoppe portering af kode til Linux-kernen . opennet.ru (10.07.2017). Hentet 28. maj 2020. Arkiveret fra originalen 30. marts 2020.
  16. debian-user: Re: Hvorfor bekymrer ingen sig om, at Brad Spengler fra GRSecurity åbenlyst krænker rettighedshavernes hensigt til Linux-kernen? Arkiveret 26. april 2022 på Wayback Machine , 2017-07
  17. 1 2 Bruce Perens vinder sejr for ytringsfrihed. 2020-02-25 . Hentet 26. maj 2020. Arkiveret fra originalen 29. juni 2020.
  18. Varghese, Sam iTWire - Linux kerne patch maker siger, at retssagen var eneste vej  ud . itwire.com (10. februar 2020). Hentet 28. maj 2020. Arkiveret fra originalen 14. maj 2020.
  19. Grsecurity-leverandør sagsøger Open Source-pioner Bruce Perens i GPLv2-uenighed. 25. august 2017 . Hentet 26. maj 2020. Arkiveret fra originalen 5. august 2020.
  20. Thomas Claburn. Linux-kernehærdere Grsecurity sagsøger open source's Bruce  Perens . www.theregister.co.uk (3. august 2017). Hentet 28. maj 2020. Arkiveret fra originalen 30. marts 2020.
  21. nebularia. Udviklerne af Grsecurity har skruet helt sammen . Autoritativt forum om open source-bevægelsen "linux.org.ru" (08/04/2017). Hentet 28. maj 2020. Arkiveret fra originalen 30. januar 2021.
  22. 1 2 Grsecurity-producenten hoster endelig $300.000 for at betale open source-pioneren Bruce Perens' juridiske regning på række over GPL Arkiveret 27. maj 2020 på Wayback Machine / The Register  
  23. DC-nr. 3:17-cv-04002-LB Arkiveret 11. maj 2021 på Wayback Machine [1] [2]
  24. Retten inddrev 259 tusind dollars fra virksomheden, der udviklede Grsecurity 06/10/2018 . Hentet 26. maj 2020. Arkiveret fra originalen 30. marts 2020.
  25. Retten pålagde OSS at betale 300 tusind dollars til Bruce Perens efter resultaterne af sagen med Grsecurity . opennet.ru (28.03.2020). Hentet 28. maj 2020. Arkiveret fra originalen 3. april 2020.
  26. Richard Fontana (Red Hat). Top 10 open source juridiske historier, der rystede  2017 . opensource.com (27. februar 2018). Hentet 28. maj 2020. Arkiveret fra originalen 27. september 2020.
  27. ↑ Linus Torvalds smækker 'rent skrald' fra 'klovne ' på Grsecurity  . thereregister.co.uk (26. juni 2017). Hentet 28. maj 2020. Arkiveret fra originalen 17. februar 2020.
  28. Vedrørende: Flere CONFIG_VMAP_STACK sårbarheder, refcount_t UAF og en ignoreret Secure Boot bypass/rootkit-metode . Hentet 28. maj 2020. Arkiveret fra originalen 25. april 2021.
  29. Maria Nefyodova. Grsecurity-udviklere har forbudt en forsker, der fandt en fejl i den seneste patch - "Hacker" . xakep.ru (28.04.2016). Hentet 28. maj 2020. Arkiveret fra originalen 17. februar 2020.

Se også

Litteratur

Links