Grsäkerhet

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 14 mars 2021; kontroller kräver 16 redigeringar .
Grsäkerhet
Sorts Lappa
Skrivet i C [1]
Operativ system linux
Licens GNU GPL 2 [2]
Hemsida grsecurity.net

Grsecurity  är en proprietär uppsättning modifieringar ( patch ) för Linux-kärnan , som inkluderar flera säkerhetsrelaterade förbättringar, inklusive skydd av kärnminne och användarprocesser, forcerad åtkomstkontroll , randomisering av objektens placering i minnet , filåtkomstbegränsningar i / proc, restriktioner för åtkomst till systemgränssnitt i chroot () jail , restriktioner för användningen av server- och klientnätverkssockets, samt ytterligare möjligheter för granskning av processaktivitet och vissa andra funktioner. Ett typiskt tillämpningsområde är system som kan acceptera nätverksanslutningar från potentiellt farliga källor: till exempel servrar för olika nätverkstjänster (till exempel webbservrar ) eller servrar som ger åtkomst till sina användare . Grsecurity-patchen har släppts under GPL version 2 sedan 2001, och inkluderar PaX- patch-setet . Från och med den 26 april 2017 är grsecurity-källkoder och relaterade patchar inte längre tillgängliga för nedladdning, och deras distribution sker endast på betalbasis [3] . Skaparen och huvudutvecklaren av grsecurity är Brad Spengler, alias spender.

Licensiering och rättstvister

Grsecurity-patchen var ursprungligen öppen källkod och fri programvara. År 2015, efter en tvist om felaktig användning av grsecurity-varumärket, beslutade författaren av patchen att stoppa den fria (obegränsade) distributionen av koderna för den stabila versionen av patchen till alla [4] [5] . Testversioner av grsecurity [5] i form av en enda patch utan att delas upp i serier vid den tiden förblev allmänt tillgängliga.

Sedan den 26 april 2017 har fri tillgång till testversioner av grsecurity-patchen (liksom PaX) stängts, troligen på grund av en konflikt med KSPP [6] eller Wind River [7] . Den senaste offentliga utgåvan var en testpatch för Linux-kärnan version 4.9. Nyare versioner görs endast tillgängliga för kommersiella abonnenter av "Open Source Security Inc" (patchutvecklare sedan 2008, PA ) [3] [8] [6] , under ett separat serviceavtal [9] [10] [11] .

I förtydligandet indikerade OSSI att patchar fortsätter att vara licensierade under GPLv2 med alla rättigheter och skyldigheter . [12] Det kommersiella avtalet mellan användaren och företaget innehåller dock ett villkor för att frånta kunder tillgång till framtida versioner av patchen om användaren utövar de rättigheter som GPL har gett honom att använda (installera och distribuera) förbikoppling av grsecurity patchar avtalet [13] .

I juni 2017 uttryckte Bruce Perens , känd för sitt engagemang i fri mjukvarurörelsen, offentligt sin åsikt att tredje part borde undvika att köpa produkten "Grsecurity" från grsecurity.net. Han påpekade att patchen är en derivata av Linux-kärnkoden och bör distribueras enligt villkoren för GPL version 2 eller kompatibel licens, som var fallet med tidigare versioner. Vid den tidpunkten hade patchen blivit en kommersiell produkt som endast distribuerades mot en avgift och enligt konvention varnades användarna för att om de omdistribuerade patchen (en rättighet som de fick av GPLv2), skulle de nekas åtkomst till efterföljande versioner av plåstret, som enligt Bruces uppfattning påstås bryta mot avsnitt 6 i den offentliga licensen, påstås medföra riskerna för licensavsägning och följaktligen kränkning av upphovsrätt och andra rättigheter (piratkopiering). [14] [15] Perens kommentarer publicerades på hans personliga internetblogg, på Debianprojektets sändlista ( som Perens tidigare var chef för ) [16] och diskuterades sedan aktivt på Slashdots internetforum [17] .

Den 17 juli 2017 inledde OSSI (enman) rättsliga förfaranden mot Bruce Perens (som Spangler påminde om [18] , på grund av bristen på andra alternativ, eftersom han i sitt uttalande såg förtal och potentiell betydande skada på rykte och affärsintressen hos hans företag [ 19] [20] [21] ). Företaget bestred följande två påståenden och ansåg att de var falska fakta:

"Det är min starka åsikt att ditt företag bör undvika Grsecurity-produkten som säljs på grsecurity.net eftersom den utgör en medverkande intrång och risk för kontraktsbrott." "Som kund är det min åsikt att du skulle bli föremål för både medverkande intrång och kontraktsbrott genom att använda den här produkten i kombination med Linux-kärnan under den policy för ingen omfördelning som för närvarande används av Grsecurity."

- [3]

I december 2017 beslutade domaren Laurel Beeler (San Francisco) att Perens uttryckte en åsikt som tillåts enligt amerikansk lag och avvisade förtalsanspråket [22] . Ytterligare rättstvister fortsatte i cirka 3 år och slutade efter flera överklaganden i det nionde systemet[ okänd term ] av de amerikanska appellationsdomstolarna (målet "Open Source Security v. Perens" [23] ) [17] .) Domstolen avslog anspråken mot Bruce och erhöll från Open Source Security och Brad Spangler rättegångskostnader i beloppet på cirka 260-300 tusen dollar [24] [22] [25] . Frågor om huruvida villkoren för GPL-licensen överträds har inte prövats av domstolarna.

Rättegången utsågs till ett av de 10 bästa rättsfallen med öppen källkod 2017 [26] .

PaX

En av huvudkomponenterna i grsecurity är PaX , som implementerar flera mekanismer för att skydda mot exploatering av sårbarheter (till exempel genom buffertspill ), inklusive randomisering av objektens placering i minnet (randomisering av adressutrymmeslayout, ASLR) och restriktioner för exekvering av godtycklig maskinkod från sidor som är tillgängliga för processen i skrivläge (särskilt stack ).

PaX utvecklas av en medlem av grsecurity-utvecklingsteamet.

PaX själv är utvecklad av ett separat team av programmerare från grsecurity.


Kritik

En av medförfattarna och underhållarna av Kernel Linux-projektet talade negativt om tillvägagångssätten som praktiserades av författarna till grsecurity-patchen när det gäller programkoden, och berömde själva projektet [27] [28] .

Grsecurity-företaget sågs engagera sig i kontroversiellt beteende på sociala medier angående en användare som rapporterade ett mjukvarufel som en patch 2016 [29] .

Anteckningar

  1. Grsecurity Open Source-projektet på Open Hub: Languages-sidan - 2006.
  2. Grensesäkerhet  _
  3. 1 2 grsäkerhet - Passera taktpinnen . grsecurity.net. Hämtad 26 maj 2020. Arkiverad från originalet 19 maj 2020.
  4. Guld, Jon Grsecurity kommer att sluta utfärda patchar som citerar varumärkesmissbruk  . Network World (28 augusti 2015). Hämtad 28 maj 2020. Arkiverad från originalet 8 november 2020.
  5. 1 2 Härdade Linux-trogna Grsecurity drar stiftet efter rättslig  kamp . thereregister.co.uk (27 augusti 2015). Hämtad 28 maj 2020. Arkiverad från originalet 2 oktober 2018.
  6. 1 2 Grsecurity slutar distribuera sina patchar gratis . opennet.ru (26.04.2017). Hämtad 25 maj 2020. Arkiverad från originalet 23 september 2020.
  7. Säkerhetsguruer för Linuxkärna Grsecurity kastar ut gratisladdare från  slottet . thereregister.co.uk (26 april 2017). Hämtad 28 maj 2020. Arkiverad från originalet 10 juli 2019.
  8. Jonathan Corbet. Grsecurity blir privat [  LWN.net ] . lwn.net (4 maj 2017). Hämtad 26 maj 2020. Arkiverad från originalet 1 april 2020.
  9. grsecurity - Vanliga frågor om åtkomstavtal . grsecurity.net. Hämtad 26 maj 2020. Arkiverad från originalet 1 december 2020.
  10. Tilläggsavtal enligt B. Perens, version publicerad av honom i juni 2017 Arkivexemplar daterad 24 april 2021 på Wayback Machine  (eng.)
  11. Sårbarheter i mjukvarulicenser för öppen källkod, Andrey Savchenko, 2018: "Grsecurity patchar ... distribution av kod och binära sammansättningar begränsas av ett ytterligare prenumerationsavtal ... grundläggande distributionsfriheter och modifiering av programvara med öppen källkod kränks" . Hämtad 28 maj 2020. Arkiverad från originalet 1 september 2019.
  12. https://grsecurity.net/agree/agreement_faq Arkiverad 1 december 2020 på Wayback Machine "Du får använda, kopiera, modifiera och distribuera vilken Linux-kärna som helst som modifierats i kombination med grsecurity-korrigeringar enligt villkoren i GPLv2."
  13. https://grsecurity.net/agree/agreement_faq Arkiverad 1 december 2020 på Wayback Machine "Vi förbehåller oss rätten att när som helst återkalla tillgången till framtida uppdateringar av grsecurity patchar och ändringsloggar av vilken anledning som helst. Våra skäl för uppsägning kan inkludera : ... Distribution eller installation av grsecurity patchar i strid med villkoren i åtkomstavtalet"
  14. " Grsecuritys stabila patchåtkomstavtal lägger till en term till GPL som förbjuder distribution eller skapar "  
  15. Grsecurity kanske bryter mot GPL i sina försök att sluta porta kod till Linuxkärnan . opennet.ru (10.07.2017). Hämtad 28 maj 2020. Arkiverad från originalet 30 mars 2020.
  16. debian-user: Re: Varför bryr sig ingen om att Brad Spengler från GRSecurity uppenbart bryter mot rättighetsinnehavarnas avsikter till Linux-kärnan? Arkiverad 26 april 2022 på Wayback Machine , 2017-07
  17. 1 2 Bruce Perens vinner seger för det fria ordet. 2020-02-25 . Hämtad 26 maj 2020. Arkiverad från originalet 29 juni 2020.
  18. Varghese, Sam iTWire - Linux-kärnpatchtillverkare säger att rättegången var enda vägen  ut . itwire.com (10 februari 2020). Hämtad 28 maj 2020. Arkiverad från originalet 14 maj 2020.
  19. Grsecurity-leverantör stämmer pionjären med öppen källkod Bruce Perens i GPLv2-oenighet. 25 augusti 2017 . Hämtad 26 maj 2020. Arkiverad från originalet 5 augusti 2020.
  20. Thomas Claburn. Linuxkärnhärdare Grsecurity stämmer öppen källkods Bruce  Perens . www.theregister.co.uk (3 augusti 2017). Hämtad 28 maj 2020. Arkiverad från originalet 30 mars 2020.
  21. nebulori. Utvecklarna av Grsecurity har helt skruvat ihop . Auktoritativt forum om öppen källkodsrörelsen "linux.org.ru" (08/04/2017). Hämtad 28 maj 2020. Arkiverad från originalet 30 januari 2021.
  22. 1 2 Grsecurity-tillverkaren hostar äntligen upp 300 000 $ för att betala open source-pionjären Bruce Perens juridiska räkning i rad över GPL Arkiverad 27 maj 2020 på Wayback Machine / The Register  
  23. DC nr. 3:17-cv-04002-LB Arkiverad 11 maj 2021 på Wayback Machine [1] [2]
  24. Domstolen återvann 259 tusen dollar från företaget som utvecklar Grsecurity 2018-10-06 . Hämtad 26 maj 2020. Arkiverad från originalet 30 mars 2020.
  25. Domstolen beordrade OSS att betala 300 tusen dollar till Bruce Perens efter resultatet av förfarandet med Grsecurity . opennet.ru (28.03.2020). Hämtad 28 maj 2020. Arkiverad från originalet 3 april 2020.
  26. Richard Fontana (Röd hatt). Topp 10 juridiska berättelser med öppen källkod som skakade  2017 . opensource.com (27 februari 2018). Hämtad 28 maj 2020. Arkiverad från originalet 27 september 2020.
  27. ↑ Linus Torvalds smäller "rent skräp" från "clowner " på Grsecurity  . thereregister.co.uk (26 juni 2017). Hämtad 28 maj 2020. Arkiverad från originalet 17 februari 2020.
  28. Angående: Fler CONFIG_VMAP_STACK-sårbarheter, refcount_t UAF och en ignorerad Secure Boot bypass / rootkit-metod . Hämtad 28 maj 2020. Arkiverad från originalet 25 april 2021.
  29. Maria Nefyodova. Grsecurity-utvecklare har förbjudit en forskare som hittade en bugg i den senaste patchen - "Hacker" . xakep.ru (28.04.2016). Hämtad 28 maj 2020. Arkiverad från originalet 17 februari 2020.

Se även

Litteratur

Länkar