Grsecurity

Материал из Википедии — свободной энциклопедии
Версия от 14:11, 15 ноября 2025; imported>Alex NB OT (унификация языковых шаблонов)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)
Перейти к навигации Перейти к поиску

Шаблон:КарточкаШаблон:Сортировка: по изображениям{{#if:||Шаблон:Категория по дате}}Ошибка скрипта: Модуля «check for unknown parameters» не существует.Шаблон:ИТ:Общие проверки Grsecurity — проприетарный набор модификаций (патч) для ядра Linux, который включает в себя некоторые улучшения, связанные с безопасностью, включая защиту памяти ядра и пользовательских процессов, принудительный контроль доступа, рандомизацию расположения объектов в памяти, ограничения доступа к файлам в /proc, ограничения доступа к системным интерфейсам внутри chroot() jail, ограничения на использование серверных и клиентских сетевых сокетов, а также дополнительные возможности аудита активности процессов и некоторые другие функции. Типичной областью применения являются системы, которые могут принимать сетевые подключения из потенциально опасных источников: такие как серверы различных сетевых служб (например, веб-серверы) или серверы, предоставляющие своим пользователям shell-доступ. Патч grsecurity с 2001 года выпускался на условиях лицензии GPL версии 2, и включает в себя набор патчей PaX. С 26 апреля 2017 года исходные коды grsecurity и связанных патчей больше не доступны для скачивания, а их распространение производится только на платной основе<ref name="автоссылка1">Шаблон:Cite web</ref>. Создатель и ведущий разработчик grsecurity — Brad Spengler, также известный под псевдонимом spender.

Лицензирование и судебные споры

Изначально патч grsecurity являлся общедоступным и свободным ПО. В 2015 году, после споров о некорректном использовании торговой марки grsecurity автор патча решил прекратить свободное (неограниченное) распространение кодов стабильной версии патча для всех желающих<ref>Шаблон:Cite web</ref><ref name=regthepin2015>Шаблон:Cite web</ref>. Тестовые версии grsecurity<ref name=regthepin2015/> в виде единого патча без разбивки на серии на тот момент оставались общедоступными.

С 26 апреля 2017 года был закрыт свободный доступ к тестовым версиям патча grsecurity (а также PaX), вероятно из-за конфликта с KSPP<ref name=onet170426>Шаблон:Cite web</ref> или Wind River<ref>Шаблон:Cite web</ref>. Последней общедоступной версией стал тестовый патч для ядра Linux 4.9 версии. Более новые версии становятся доступными лишь для коммерческих подписчиков компании "Open Source Security Inc" (разработчик патча с 2008 года, штат Пенсильвания)<ref name="автоссылка1" /><ref name=onet170426/><ref>Шаблон:Cite web</ref>, в рамках отдельного соглашения о предоставлении услуг<ref>Шаблон:Cite web</ref><ref>Допсоглашение по данным Б.Перенса, версия опубликована им в июне 2017 года Шаблон:Wayback Шаблон:Ref</ref><ref>Шаблон:Cite web</ref>.

В разъяснениях компания OSSI указала, что на патчи продолжает действовать лицензия GPLv2 со всеми правами и обязанностями. <ref>https://grsecurity.net/agree/agreement_faq Шаблон:Wayback "You may use, copy, modify, and distribute any Linux kernel modified by combination with grsecurity patches under the terms of GPLv2."</ref> Однако коммерческое соглашение между пользователем и корпорацией содержит условие о лишении клиентов доступа к будущим версиям патча в случае, если пользователь применяет права, данные ему GPL для использования (установки и распространения) патчей grsecurity в обход соглашения<ref>https://grsecurity.net/agree/agreement_faq Шаблон:Wayback "We reserve the right to revoke access to future updates of grsecurity patches and changelogs at any time for any reason. Our reasons for termination may include: ... Distribution or installation of grsecurity patches in violation of the terms of the access agreement"</ref>.

В июне 2017 года Брюс Перенс, известный своим участием в движении СПО, публично высказал свое мнение о том, что третьим лицам следует избегать покупки продукта "Grsecurity" на сайте grsecurity.net. Он указал что патч является производным продуктом от кода ядра Linux и должен распространяться на условиях лицензии GPL версии 2 или совместимой, как это происходило с прошлыми версиями. На тот момент патч стал коммерческим продуктом, распространяемым лишь за плату и, по соглашению, пользователи предупреждаются что если они будут распространять патч (право, данное им GPLv2), то они будут лишены доступа к последующим версиям патча, что, по суждению Брюса, якобы может нарушать Секцию 6 Публичной Лицензии, якобы несет риски прекращения действия лицензии и соответственно нарушения Авторских и Иных прав (пиратства).<ref>Warning: Grsecurity: Potential contributory infringement and breach of contract risk for customers Шаблон:Wayback, 2017-06-28 Шаблон:Ref "Grsecurity’s Stable Patch Access Agreement adds a term to the GPL prohibiting distribution or creating a penalty for distribution. GPL section 6 specifically prohibits any addition of terms."</ref><ref>Шаблон:Cite web</ref> Высказывание Перенса было опубликовано в его личном Интернет-блоге, в почтовой рассылке проекта Debian (главой которого Перенс ранее являлся)<ref>debian-user: Re: Why does no one care that Brad Spengler of GRSecurity is blatantly violating the intention of the rightsholders to the Linux Kernel? Шаблон:Wayback, 2017-07</ref>, а затем активно обсуждалось на Интернет-форуме Slashdot<ref name=heater2020/>.

17 июля 2017 года компания OSSI (состоящая из одного сотрудника) инициировала против Брюса Перенса судебное разбирательство (как вспоминал Спенглер<ref>Шаблон:Cite web</ref>, из-за отсутствия иных вариантов, увидев в его высказывании диффамацию и потенциальный значительный ущерб репутации и бизнес-интересам своей компании<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>). Компания оспаривала следующие два высказывания, считая их ложными фактами:

<templatestyles src="Шаблон:Начало_цитаты/styles.css" />{{#ifexpr: 0 mod 2 = 0 and 0 != 4 and 0 != 104 |

}}{{#if: |

:

}}

{{#ifexpr: 0 mod 2 = 0 and 0 != 4 and 0 != 104 |

}} “It’s my strong opinion that your company should avoid the Grsecurity product sold at grsecurity.net because it presents a contributory infringement and breach of contract risk.” “As a customer, it’s my opinion that you would be subject to both contributory infringement and breach of contract by employing this product in conjunction with the Linux kernel under the no-redistribution policy currently employed by Grsecurity.” {{#if: [1]

| <templatestyles src="Шаблон:Конец цитаты/styles.css" />

[2]

}}

В декабре 2017 года магистрат-судья Laurel Beeler (Сан-Франциско) постановил что Перенс высказал мнение, допускаемое законами США, и отверг заявление о диффимации<ref name=thereg2020/>. Дальнейшие судебные споры продолжались около 3 лет и, после нескольких апелляций завершились в 9-й схемеШаблон:Термин апелляционных судов США (дело "Open Source Security v. Perens"<ref>D.C. No. 3:17-cv-04002-LB Шаблон:Wayback [3] [4]</ref>)<ref name=heater2020>Шаблон:Cite web</ref>.) Суд отклонил претензии к Брюсу и взыскал с Open Source Security и Брэда Спенглера судебные расходы в размере около 260-300 тысяч долларов<ref name=thereg2020>Grsecurity maker finally coughs up $300k to foot open-source pioneer Bruce Perens' legal bill in row over GPL Шаблон:Wayback / The Register Шаблон:Ref</ref><ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>. Вопросы о том, нарушаются ли условия лицензии GPL, судами не рассматривался.

Судебный спор назван одним из 10 важнейших юридических дел в области открытого ПО в 2017 году<ref>Шаблон:Cite web</ref>.

PaX

Шаблон:Нет источников в разделе Одним из основных компонентов grsecurity является PaX, реализующий несколько механизмов защиты от эксплуатации уязвимостей (например, через переполнение буфера), включая рандомизацию расположения объектов в памяти (address space layout randomization, ASLR) и ограничения на выполнение произвольного машинного кода со страниц, доступных процессу в режиме записи (в частности, стека).

Шаблон:Нет АИ 2

Шаблон:Нет АИ 2

Критика

Один из соавторов и мейнтейнеров проекта Ядро Линукс негативно высказывался о подходах, практикуемых авторами патча grsecurity в части программного кода, низко оценив сам проект<ref>Шаблон:Cite web</ref><ref>Шаблон:Cite web</ref>.

Корпорация grsecurity была замечена в неоднозначном поведении в социальных сетях в отношении пользователя, сообщившего о программном недочете в патче в 2016 году<ref>Шаблон:Cite web</ref>.

Примечания

Шаблон:Примечания

См. также

Литература

Ссылки

Шаблон:Нет источников