https://opennet.ru/openforum/vsluhforumID3/110381.html Проект grsecurity представил (https://www.grsecurity.net/rap_announce_full.php) первый выпуск набора патчей с реализацией механизма защиты RAP (Reuse Attack Protector) для ядра Linux, позволяющего блокировать работу эксплоитов, основанных на технике заимствования кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%BE%D0%B7%D0%B2%D1%80%D0%B0%D1%82%D0%BD%D0%BE-%D0%BE%D1%80%D0%B8%D0%B5%D0%BD%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5#.D0.97.D0.B0.D0.B8.D0.BC.D1.81.D1.82.D0.B2.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_.D0.BA.D1.83.D1.81.D0.BA.D0.BE.D0.B2_.D0.BA.D0.BE.D0.B4.D0.B0). Набор патчей включает всю запланированную функциональность и опубликован под лицензией GPLv2 в публичной тестовой ветке (https://www.grsecurity.net/download.php#test) grsecurity для ядра Linux 4.9 (стабильные ветки grsecurity распространяются (https://www.opennet.ru/opennews/art.shtml?num=42856) платно). <br><br><br>Техника заимствовани https://opennet.ru/openforum/vsluhforumID3/110381.html#78 Fri, 17 Feb 2017 06:24:11 GMT &gt; Ребята из grsecurity чувствую себя при этом прекрасно.<br><br>Перед GPL и Столманом все ровны, но ребята из grsecurity ровнее других.<br><br>Альтернативы нет. Вообще нет. Остальное просто недоделанные тормоза. Вот чтобы народ дружно не свалил с GNU/Linux на OpenBSD - терпят все причуды PaX и GrSec. PaX вообще анонимщики кого там поймаешь чтобы наказать?<br><br>Линус помахал в их сторону пальчиком и сказал что их кода в официальном ядре никогда не будет. Вот и всё собственно наказание. Хуже им не сделают, вот они и срут на GPL.<br> https://opennet.ru/openforum/vsluhforumID3/110381.html#77 Tue, 14 Feb 2017 18:30:15 GMT &gt; "... Почему тогда не сделать ..."<br><br>Потому что тогда хакеру будет сложней работать... Ему прйдётся найти другие дыры заложенные разработчиком, а значит разработчику занеся их в errata в следующей еврсии ЦПУ - ломать голову какую другую дырку сделать, а так все довольны - и волки сыты и шакалы.<br><br>А, изначально, в начале становлени x86 - потому что в [MS-]DOS безопасность <br>- даже номинально отсутствовала в ОС, по той же причине. <br> https://opennet.ru/openforum/vsluhforumID3/110381.html#76 Sat, 11 Feb 2017 10:25:29 GMT &gt; Скажем так - сильно затрудняет это дело.<br><br>Это вбросчик был, если что.<br><br>PS re #19: порой ещё и автомодер по результатам отсмотра набросов людьми...<br> https://opennet.ru/openforum/vsluhforumID3/110381.html#75 Fri, 10 Feb 2017 01:03:04 GMT &gt;По поводу же модулей из разъяснений Линуса следует, что они рассматриваются как пользователи стандартных интерфейсов ядра и скорее загружаются в него, а не линкуются<br><br>А данный патч загружается? Не линкуется с ядром? Нет?<br><br>Тогда почему человек так бузит и баттхерт от того, что кто-то не поддерживает более Х месяцев дешевые поделия?<br><br>Понимаешь в чем дело, он составил свои условия довольно корректно, не придерешься. Однако, проблема нарушения GPL в том, что он сует нос туда куда не следует. Забота о репутации доказана: он отказывается от гарантий, хотя ему заплатили за услуги. Нет гарантий -- нет уважения.<br><br>Вот ты платишь в FSF бабло, а они тебя на эти деньги преследуют, следят за тобой, как бы ты не нарушил GPL.<br><br>И сам мужик продается дешево (по данным из сети, просит всего $200/месяц). Кроме того как баба ведет себя: я могу вас забанить, а если денег не хватит -- разбаню обратно. Что это за девичьи капризы? У вас бизнес или хобби?<br><br>Да поставь ты расценки такие, которые тебя устроят чтобы ты не сува https://opennet.ru/openforum/vsluhforumID3/110381.html#74 Fri, 10 Feb 2017 00:32:23 GMT &gt; Я покопался в сути вопроса. Ньанс заключается в том, что ядро Linux <br>&gt; поставляется под GPL с исключениями. А данный патч насильно превращает ядро <br>&gt; Linux в софт под чистым GPL. Таким образом, вынуждая корпорации не <br><br>Откуда у вас эта информация, можете поделиться? На сколько я понимаю, ядро поставляется под самой обычной, "чистой" GPLv2 безо всяких исключений:<br><br>https://www.kernel.org/pub/linux/kernel/COPYING<br><br>По поводу же модулей из разъяснений Линуса следует, что они рассматриваются как пользователи стандартных интерфейсов ядра и скорее загружаются в него, а не линкуются:<br><br>http://linuxmafia.com/faq/Kernel/proprietary-kernel-modules.html<br> https://opennet.ru/openforum/vsluhforumID3/110381.html#73 Thu, 09 Feb 2017 22:26:25 GMT Я покопался в сути вопроса. Ньанс заключается в том, что ядро Linux поставляется под GPL с исключениями. А данный патч насильно превращает ядро Linux в софт под чистым GPL. Таким образом, вынуждая корпорации не только открывать код несчастного патча, но и всего остального (закрытые модули, закрытое ПО, писавшееся десятилетиями в 100, 500, 1000 человек), вообще не связанного с этим патчем.<br><br>Поэтому, несчатный делает оговорку, мол в своей компании можете делать с этим патчем все что угодно. А вот если поставляете клиенту свою пропиетарщину с моим патчем, то давайте-ка делать все по GPL: отдавай все исходники. К ядру. К софту. Ко всему. Не дашь, ты нарушитель GPL.<br><br>&gt;Но понять их можно, неприятно когда на какие-то облачные безделушки, на патченье кривого openssl и на разработку очередного fuzzer-а выделяют миллионы, а патчи grsecurity, которые реально, а не на словах, повышают безопасность, тянут без какой-либо отдачи и ещё себе приписывают достижения.<br><br>Что ты понимаешь? Под какой лицухой выпускается openssl https://opennet.ru/openforum/vsluhforumID3/110381.html#72 Thu, 09 Feb 2017 15:30:56 GMT Справедливости ради, попытки использовать разные сегменты были и вполне успешные, хоть и нишевые: это и PaX UDEREF для x86_32, и ядра редхата, позволявшие юзерспейс-процессам использовать все 4 ГБ адресуемой памяти.<br><br>Отказ от сегментации в AMD64 с целью упрощения архитектуры негативно сказался как минимум на аспекте безопасности: тот же UDEREF до появления процессоров с PCID и SMAP на x86_64 был (и остаётся - на процессорах без этих фич) основан на релокации пользовательских страниц по смещению, задаваемому единожды случайно. Такой UDEREF до сих пор носит заслуженное звание weak and slow. При этом даже SMAP считается авторами Grseucrity более слабым механизмом, чем его старый 32-битный аналог на базе сегментов, из-за каких-то деталей реализации (я узнавал, не вдаваясь в подробности).<br> https://opennet.ru/openforum/vsluhforumID3/110381.html#71 Thu, 09 Feb 2017 15:19:21 GMT &gt; Заявления "если найдутся достаточные основания подозревать клиента..." юридически не обоснованы и не могут быть поводом для расторжения контракта.<br><br>Всё-таки, если такое право одной из сторон в одностороннем порядке определять основания для расторжения закреплено за ней в действующем договоре, то оно имеет юридическую силу.<br> https://opennet.ru/openforum/vsluhforumID3/110381.html#70 Thu, 09 Feb 2017 11:43:40 GMT Дорогая, патч без ядра - это вообще ничто. Сам по себе он ничего не может делать.<br>Выпуск отдельно патча - это просто способ распространения производного продукта, коим является пропатченное ядро.<br>То, что урюки все таки публикуют свои патчи - вот это их отмазка, что они торгуют GPL-продуктом.<br>