Grsecurity

Grsecurity
Grsecurity
Тип	Патч
Написана на	Си
Операционная система	Linux
Лицензия	GNU GPL 2
Сайт	grsecurity.net (англ.)

Grsecurity — проприетарный набор модификаций (патч) для ядра Linux, который включает в себя некоторые улучшения, связанные с безопасностью, включая защиту памяти ядра и пользовательских процессов, принудительный контроль доступа, рандомизацию расположения объектов в памяти, ограничения доступа к файлам в /proc, ограничения доступа к системным интерфейсам внутри chroot() jail, ограничения на использование серверных и клиентских сетевых сокетов, а также дополнительные возможности аудита активности процессов и некоторые другие функции. Типичной областью применения являются системы, которые могут принимать сетевые подключения из потенциально опасных источников: такие как серверы различных сетевых служб (например, веб-серверы) или серверы, предоставляющие своим пользователям shell-доступ. Патч grsecurity с 2001 года выпускался на условиях лицензии GPL версии 2, и включает в себя набор патчей PaX. С 26 апреля 2017 года исходные коды grsecurity и связанных патчей больше не доступны для скачивания, а их распространение производится только на платной основе^[3]. Создатель и ведущий разработчик grsecurity — Brad Spengler, также известный под псевдонимом spender.

Лицензирование и судебные споры[править | править код]

Изначально патч grsecurity являлся общедоступным и свободным ПО. В 2015 году, после споров о некорректном использовании торговой марки grsecurity автор патча решил прекратить свободное (неограниченное) распространение кодов стабильной версии патча для всех желающих^[4]^[5]. Тестовые версии grsecurity^[5] в виде единого патча без разбивки на серии на тот момент оставались общедоступными.

С 26 апреля 2017 года был закрыт свободный доступ к тестовым версиям патча grsecurity (а также PaX), вероятно из-за конфликта с KSPP^[6] или Wind River^[7]. Последней общедоступной версией стал тестовый патч для ядра Linux 4.9 версии. Более новые версии становятся доступными лишь для коммерческих подписчиков компании "Open Source Security Inc" (разработчик патча с 2008 года, штат Пенсильвания)^[3]^[8]^[6], в рамках отдельного соглашения о предоставлении услуг^[9]^[10]^[11].

В разъяснениях компания OSSI указала, что на патчи продолжает действовать лицензия GPLv2 со всеми правами и обязанностями. ^[12] Однако коммерческое соглашение между пользователем и корпорацией содержит условие о лишении клиентов доступа к будущим версиям патча в случае нарушения GPL или использования (установки и распространения) патчей grsecurity в нарушении соглашения или тарифов OSSI^[13].

В июне 2017 года Брюс Перенс, известный своим участием в движениях Открытого Исходного Кода, публично высказал свое мнение о том, что третьим лицам следует избегать покупки продукта "Grsecurity" на сайте grsecurity.net. Он указал что патч является производным продуктом от кодов ядра Линукс и должен распространяться на условиях GPL версии 2 или совместимых, как это происходило с прошлыми версиями. На тот момент патч стал коммерческим продуктом, распространяемым лишь за плату и, по соглашению, пользователи предупреждаются что если они будут распространять патч (право и обязанность данные им GPLv2), то они будут лишены доступа к последующим версиям патча, что, по суждению Брюса, якобы может нарушать Секцию 6 Публичной Лицензии, якобы несет риски прекращения действия лицензии и соответственно нарушения Авторских и Иных прав (пиратства).^[14]^[15] Высказывание Перенса было опубликовано в его личном Интернет-Блоге, в рассылке дебиан (верховным предводителем которого Перенс ранее являлся)^[16], а затем активно обсуждалось на Интернет-форуме Slashdot^[17].

Корпорация OSSI (из одного сотрудника) инициировала судебные разбирательства против Брюса Перенса 17 июля 2017 года (из-за отсутствия иных вариантов, как вспоминал Спенглер^[18]), увидев в его высказывании диффимацию и потенциальный значительный ущерб репутации и бизнес-интересам^[19]^[20]^[21]. Корпорация оспаривала следующие два высказывания, считая их ложными фактами:

“It’s my strong opinion that your company should avoid the Grsecurity product sold at grsecurity.net because it presents a contributory infringement and breach of contract risk.” “As a customer, it’s my opinion that you would be subject to both contributory infringement and breach of contract by employing this product in conjunction with the Linux kernel under the no-redistribution policy currently employed by Grsecurity.”

— [3]

В декабре 2017 года магистрат-судья Laurel Beeler (Сан-Франциско) постановил что Перенс высказал мнение, допускаемое законами США, и отверг заявление о диффимации^[22]. Дальнейшие судебные споры продолжались около 3 лет и, после нескольких апелляций завершились в 9-й схеме^{[неизвестный термин]} апелляционных судов США (дело "Open Source Security v. Perens"^[23])^[17].) Суд отклонил претензии к Брюсу и взыскал с Open Source Security и Брэда Спенглера судебные расходы в размере около 260-300 тысяч долларов^[24]^[22]^[25]. Вопросы о том, нарушаются ли условия лицензии GPL, судами не рассматривался.

Судебный спор назван одним из 10 важнейших юридических дел в области открытого ПО в 2017 году^[26].

PaX[править | править код]

Одним из основных компонентов grsecurity является PaX, реализующий несколько механизмов защиты от эксплуатации уязвимостей (например, через переполнение буфера), включая рандомизацию расположения объектов в памяти (address space layout randomization, ASLR) и ограничения на выполнение произвольного машинного кода со страниц, доступных процессу в режиме записи (в частности, стека).

PaX разрабатывается одним из членов команды разработчиков grsecurity.^{[источник не указан 273 дня]}

PaX сам по себе разрабатывается отдельной от grsecurity командой программистов.^{[источник не указан 273 дня]}

Критика[править | править код]

Один из соавторов и мейнтейнеров проекта Ядро Линукс негативно высказывался о подходах, практикуемых авторами патча grsecurity в части программного кода, низко оценив сам проект^[27]^[28].

Корпорация grsecurity была замечена в неоднозначном поведении в социальных сетях в отношении пользователя, сообщившем о программном недочете в качестве патча в 2016 году^[29].

Примечания[править | править код]

↑ The grsecurity Open Source Project on Open Hub: Languages Page — 2006.
↑ Grsecurity (англ.)
↑ ¹ ² grsecurity - Passing the Baton (неопр.). grsecurity.net. Дата обращения: 26 мая 2020.
↑ Gold, Jon Grsecurity will stop issuing patches citing trademark abuse (англ.). Network World (28 August 2015). Дата обращения: 28 мая 2020.
↑ ¹ ² Hardened Linux stalwarts Grsecurity pull the pin after legal fight (англ.). theregister.co.uk (27 August 2015). Дата обращения: 28 мая 2020.
↑ ¹ ² Grsecurity прекращает бесплатное распространение своих патчей (неопр.). opennet.ru (26.04.2017). Дата обращения: 25 мая 2020.
↑ Linux kernel security gurus Grsecurity oust freeloaders from castle (англ.). theregister.co.uk (26 April 2017). Дата обращения: 28 мая 2020.
↑ Jonathan Corbet. Grsecurity goes private [LWN.net] (англ.). lwn.net (May 4, 2017). Дата обращения: 26 мая 2020.
↑ grsecurity - Access Agreement FAQ (неопр.). grsecurity.net. Дата обращения: 26 мая 2020.
↑ Допсоглашение по данным Б.Перенса, версия опубликована им в июне 2017 года (англ.)
↑ Уязвимости в лицензиях СПО, Андрей Савченко, 2018: "Патчи Grsecurity ... распространение кода и бинарных сборок ограничивается дополнительным договором подписки ... базовые свободы распространения и модификации СПО нарушаются"
↑ https://grsecurity.net/agree/agreement_faq "You may use, copy, modify, and distribute any Linux kernel modified by combination with grsecurity patches under the terms of GPLv2."
↑ https://grsecurity.net/agree/agreement_faq "We reserve the right to revoke access to future updates of grsecurity patches and changelogs at any time for any reason. Our reasons for termination may include: ... Distribution or installation of grsecurity patches in violation of the terms of the access agreement"
↑ Warning: Grsecurity: Potential contributory infringement and breach of contract risk for customers, 2017-06-28 (англ.) "Grsecurity’s Stable Patch Access Agreement adds a term to the GPL prohibiting distribution or creating a penalty for distribution. GPL section 6 specifically prohibits any addition of terms."
↑ Grsecurity возможно нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux (неопр.). opennet.ru (10.07.2017). Дата обращения: 28 мая 2020.
↑ debian-user: Re: Why does no one care that Brad Spengler of GRSecurity is blatantly violating the intention of the rightsholders to the Linux Kernel?, 2017-07
↑ ¹ ² Bruce Perens Wins Victory for Free Speech. 2020-02-25
↑ Varghese, Sam iTWire - Linux kernel patch maker says court case was only way out (англ.). itwire.com (10 February 2020). Дата обращения: 28 мая 2020.
↑ Grsecurity Vendor Sues Open Source Pioneer Bruce Perens in GPLv2 Disagreement. 25 Aug 2017
↑ Thomas Claburn. Linux kernel hardeners Grsecurity sue open source's Bruce Perens (англ.). www.theregister.co.uk (3 Aug 2017). Дата обращения: 28 мая 2020.
↑ nebularia. Разработчики Grsecurity упоролись окончательно (рус.). Авторитетный форум об опен-сурс движении "linux.org.ru" (04.08.2017). Дата обращения: 28 мая 2020.
↑ ¹ ² Grsecurity maker finally coughs up $300k to foot open-source pioneer Bruce Perens' legal bill in row over GPL / The Register (англ.)
↑ D.C. No. 3:17-cv-04002-LB [1] [2]
↑ Суд взыскал 259 тысяч долларов с компании, разрабатывающей Grsecurity 10.06.2018
↑ Суд предписал OSS выплатить 300 тысяч долларов Брюсу Перенсу по итогам разбирательства с Grsecurity (неопр.). opennet.ru (28.03.2020). Дата обращения: 28 мая 2020.
↑ Richard Fontana (Red Hat). Top 10 open source legal stories that shook 2017 (англ.). Opensource.com (27 Feb 2018). Дата обращения: 28 мая 2020.
↑ Linus Torvalds slams 'pure garbage' from 'clowns' at Grsecurity (англ.). theregister.co.uk (26 June 2017). Дата обращения: 28 мая 2020.
↑ Re: More CONFIG_VMAP_STACK vulnerabilities, refcount_t UAF, and an ignored Secure Boot bypass / rootkit method
↑ Мария Нефёдова. Разработчики Grsecurity забанили исследователя, который нашел баг в свежем патче — «Хакер» (неопр.). xakep.ru (28.04.2016). Дата обращения: 28 мая 2020.

См. также[править | править код]

Литература[править | править код]

Koo Z., Ayop Z., Abidin, Z. Analysis of ROP Attack on Grsecurity / PaX Linux Kernel Security Variables (англ.) // International Journal of Applied Engineering Research. — 2017. — January.

Ссылки[править | править код]

Официальный веб-сайт
Повышение привилегий в grsecurity, xakep.ru, 12 января 2007 г
Grsecurity(англ.), securityfocus.com, 28 февраля 2002 г
grsecurity на корпоративном информационном портале wiki.debian.org (англ.)
GRSecurity – система безопасности для Linux, состоящая из патча к ядру и управляющей программы. / Системный администратор 2004 Выпуск №9 (22)
Денис Колисниченко, Grsecurity: управление доступом, основанное на ролях
Between the Millstones: Lessons of Self-Funded Participation in Kernel Self Protection Project, Alexander Popov (PositiveTechnologies) November 3,2018 (https://ostconf.com/materials/2491)
STACKLEAK — это функция безопасности ядра Linux, изначально разработанная создателями Grsecurity/PaX, 27 Сентября, 2018

[_a972eb6460b6decc-1] The grsecurity Open Source Project on Open Hub: Languages Page — 2006.

[_b525a21f8021d537-2] Grsecurity (англ.)

[автоссылка1-3] ¹ ² grsecurity - Passing the Baton (неопр.). grsecurity.net. Дата обращения: 26 мая 2020.

[4] Gold, Jon Grsecurity will stop issuing patches citing trademark abuse (англ.). Network World (28 August 2015). Дата обращения: 28 мая 2020.

[regthepin2015-5] ¹ ² Hardened Linux stalwarts Grsecurity pull the pin after legal fight (англ.). theregister.co.uk (27 August 2015). Дата обращения: 28 мая 2020.

[onet170426-6] ¹ ² Grsecurity прекращает бесплатное распространение своих патчей (неопр.). opennet.ru (26.04.2017). Дата обращения: 25 мая 2020.

[7] Linux kernel security gurus Grsecurity oust freeloaders from castle (англ.). theregister.co.uk (26 April 2017). Дата обращения: 28 мая 2020.

[8] Jonathan Corbet. Grsecurity goes private [LWN.net] (англ.). lwn.net (May 4, 2017). Дата обращения: 26 мая 2020.

[9] rsecurity - Access Agreement FAQ (неопр.). grsecurity.net. Дата обращения: 26 мая 2020.

[10] Допсоглашение по данным Б.Перенса, версия опубликована им в июне 2017 года (англ.)

[11] Уязвимости в лицензиях СПО, Андрей Савченко, 2018: "Патчи Grsecurity ... распространение кода и бинарных сборок ограничивается дополнительным договором подписки ... базовые свободы распространения и модификации СПО нарушаются"

[12] ttps://grsecurity.net/agree/agreement_faq "You may use, copy, modify, and distribute any Linux kernel modified by combination with grsecurity patches under the terms of GPLv2."

[13] ttps://grsecurity.net/agree/agreement_faq "We reserve the right to revoke access to future updates of grsecurity patches and changelogs at any time for any reason. Our reasons for termination may include: ... Distribution or installation of grsecurity patches in violation of the terms of the access agreement"

[14] Warning: Grsecurity: Potential contributory infringement and breach of contract risk for customers, 2017-06-28 (англ.) "Grsecurity’s Stable Patch Access Agreement adds a term to the GPL prohibiting distribution or creating a penalty for distribution. GPL section 6 specifically prohibits any addition of terms."

[15] Grsecurity возможно нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux (неопр.). opennet.ru (10.07.2017). Дата обращения: 28 мая 2020.

[16] -user: Re: Why does no one care that Brad Spengler of GRSecurity is blatantly violating the intention of the rightsholders to the Linux Kernel?, 2017-07

[heater2020-17] ¹ ² Bruce Perens Wins Victory for Free Speech. 2020-02-25

[18] Varghese, Sam iTWire - Linux kernel patch maker says court case was only way out (англ.). itwire.com (10 February 2020). Дата обращения: 28 мая 2020.

[19] Grsecurity Vendor Sues Open Source Pioneer Bruce Perens in GPLv2 Disagreement. 25 Aug 2017

[20] Thomas Claburn. Linux kernel hardeners Grsecurity sue open source's Bruce Perens (англ.). www.theregister.co.uk (3 Aug 2017). Дата обращения: 28 мая 2020.

[21] nebularia. Разработчики Grsecurity упоролись окончательно (рус.). Авторитетный форум об опен-сурс движении "linux.org.ru" (04.08.2017). Дата обращения: 28 мая 2020.

[thereg2020-22] ¹ ² Grsecurity maker finally coughs up $300k to foot open-source pioneer Bruce Perens' legal bill in row over GPL / The Register (англ.)

[23] D.C. No. 3:17-cv-04002-LB [1] [2]

[24] Суд взыскал 259 тысяч долларов с компании, разрабатывающей Grsecurity 10.06.2018

[25] Суд предписал OSS выплатить 300 тысяч долларов Брюсу Перенсу по итогам разбирательства с Grsecurity (неопр.). opennet.ru (28.03.2020). Дата обращения: 28 мая 2020.

[26] Richard Fontana (Red Hat). Top 10 open source legal stories that shook 2017 (англ.). Opensource.com (27 Feb 2018). Дата обращения: 28 мая 2020.

[27] Linus Torvalds slams 'pure garbage' from 'clowns' at Grsecurity (англ.). theregister.co.uk (26 June 2017). Дата обращения: 28 мая 2020.

[28] Re: More CONFIG_VMAP_STACK vulnerabilities, refcount_t UAF, and an ignored Secure Boot bypass / rootkit method

[29] Мария Нефёдова. Разработчики Grsecurity забанили исследователя, который нашел баг в свежем патче — «Хакер» (неопр.). xakep.ru (28.04.2016). Дата обращения: 28 мая 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]