LINUX.ORG.RU
Ответ на: комментарий от init_6

т.е. получив код от Grsecurity платные подписчики вольны распространять и модифицировать патчи

the_electric_hand ★★
()
Ответ на: комментарий от takino

любой подписчик может взять и распространить дальше.

До этой ^ новости по ровно такой-же схеме grsecurity распространяла заплатки исключительно на longterm версии ядер. И ровно точно так-же любой подписчик мог бы их распространять… Однако в сети этих патчей не было вовсе.

init_6 ★★★★★
() автор топика
Ответ на: комментарий от the_electric_hand

Походу придеться либо так(хреновый вариант), либо самим покупать и выкладывать(фонд вроде позволяет). Не очень хочется брать патчи, залитые кем-то не из GrSecurity team на гитхаб - а ну как там закладочки от залившего Васяна будут?

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от the_electric_hand

Там есть актуальные заплатки на longterm версии? Нет? Ну а теперь не будет вообще никаких.

init_6 ★★★★★
() автор топика
Ответ на: комментарий от Pinkbyte

как там закладочки от залившего Васяна будут?

slashbeast емнип этим GrSecurity их прошлый сайт либо его оформление пилил… Так что пусть и не совсем «васян». Однако в остальном я с тобой согласен.

init_6 ★★★★★
() автор топика
Ответ на: комментарий от takino

любой подписчик может взять и распространить дальше.

Доверяешь подписчику? Вдруг запилит в патч закладочку с гашем?

J ★★★★★
()

Ну кушать ребятам тоже хочется. Только вот почему прям совсем перестать распространять? Можно же было типа сертифицированные ядра собирать и их продавать с поддержкой...

slaykovsky ★★★
()
Ответ на: комментарий от Pinkbyte

Ты, кстати, не в курсе ли, сколько стоит подписка для простого пользователя (не организации)? Или они вообще такого не предоставляют?

beresk_let ★★★★★
()
Ответ на: комментарий от cetjs2

Кто туда коммитить будет? Патчи заливать? Это нужно серьезное количество идейных среди разработчиков GrSecurity, чтобы они форкнули и мерджили все изменения.

Pinkbyte ★★★★★
()
Ответ на: комментарий от cetjs2

ну форкнут. и что изменится?

Ну уже сколько лет его пилят? А что-то не форкнули. Мало того за столько времени и в официальное ядро можно было бы при желании уже несколько раз пропихнуть. Да вот тоже что-то не особо оно видимо нужно.

init_6 ★★★★★
() автор топика
Ответ на: комментарий от cetjs2

Политика. Вспомни историю с LVM и EVMS. EVMS на тот момент был более продвинутым, но в ядро приняли LVM.

Pinkbyte ★★★★★
()
Ответ на: комментарий от cetjs2

полностью платные патчи — отличный повод для fork.

Если сами разработчики все до единого единогласно за платные патчи… Повод отличный. Вот только перспективы я бы сказал туманны.

init_6 ★★★★★
() автор топика
Ответ на: комментарий от init_6

То есть любой Васян(тут я не называю Grsecurity Васяном) может форкнуть Linux kernel и продавать за $$ при этом отдавая исходники только клиентам?

Singularity ★★★★★
()
Ответ на: комментарий от Singularity

То есть любой Васян(тут я не называю Grsecurity Васяном) может форкнуть Linux kernel и продавать за $$ при этом отдавая исходники только клиентам?

Как видишь. Занятно не правда ли?

init_6 ★★★★★
() автор топика
Ответ на: комментарий от cetjs2

ага, только вот как бы разработчиков еще форкнуть?

WindowsXP ★★
()
Ответ на: комментарий от init_6

И действительно на gnu.org написано:

if you release the modified version to the public in some way, the GPL requires you to make the modified source code available to the program's users, under the GPL.

Хотя, не очень понятно, кто попадает в категорию program's users.

Singularity ★★★★★
()

Я правильно понимаю, что это в первую очередь мера борьбы против недобросовестных мейнтейнеров, дабы не портили репутацию самим grsecurity? Учитывая, что благодаря GPLv2 можно, получив патчи однажды, спокойно передавать их дальше?

jcd ★★★★★
()
Ответ на: комментарий от Singularity

Если кратко: если выложил куда-то бинарник — выложи туда и исходник. Есть нюансы, но в целом этого правила достаточно.

Xenius ★★★★★
()
Ответ на: комментарий от Singularity

Хотя, не очень понятно, кто попадает в категорию program's users.

До этого когда grse-и сделали платными longterm-овские версии кипели ровно такие-же г*вны. По обобщенным результатам выяснилось, что действительно имеют право. Т.е. да оно по gpl но чтоб его получить ты сперва его купи ;) На этом и закончились эти разговоры а longterm-овские версии их заплаток были только по платной подписке… Ну а теперь собственно вот.

init_6 ★★★★★
() автор топика
Ответ на: комментарий от init_6

Не писать цену — яркий признак сериоус бузинесса

buddhist ★★★★★
()
Ответ на: комментарий от jcd

Я правильно понимаю, что это в первую очередь мера борьбы против недобросовестных мейнтейнеров, дабы не портили репутацию самим grsecurity?

В прошлый раз они закрыли доступ к stable патчам из-за того, что коммерческие организации тырили их разработки для своих продуктов. Так что GPL для них скорее препятствие.

Deleted
()
Ответ на: комментарий от J

зависит от именитости подписчика. Захотят гентушники оживить харденд - подпишутся и будут распространять с подписями и блек-джеком.

takino ★★★★★
()
Ответ на: комментарий от Arlecchino

Плохие новости, но надеюсь что энтузиасты адаптируют патчи 4.9 LTS под следующие LTS-выпуски.

Никто это делать не станет ровно так-же как до сих пор никто не бэкпортировал открытые нестабильные заплатки под longterm-овские ядра.

init_6 ★★★★★
() автор топика

Тот случай, когда проще взять OpenBSD.

kirk_johnson ★☆
()
Ответ на: комментарий от takino

Ну, усе значит усе. Тогда жаль.

Закапываем. У меня кстати крайнее нормальное с grsec 4.9.9. Дальше скурвилось в непонятное. Т.е. собирается но не работает. А теперь вот лишний повод переустановить систему.

init_6 ★★★★★
() автор топика

https://grsecurity.net/passing_the_baton_faq.php

As always, we plan to stay well ahead of the exploitation curve, so we will be tackling the vector holistically, building on top of the strong security guarantees provided by RAP, our best-in-breed defense against code reuse attacks.

https://grsecurity.net/rap_faq.php

RAP has a defined threat model: it operates based on the assumption that an attacker already has the most powerful «exploit primitives» at his or her disposal: the ability to read from and write to anywhere in memory an arbitrary number of times. Many other proposed solutions to code reuse attacks were not designed with this threat model in mind and so have fallen prey to attacks that don't apply to RAP. With this realistic threat model, techniques like ASLR and /GS no longer hold up.

There are several key points to RAP that make it the best defense against code reuse attacks. It is resistant against all the attacks previously mentioned, even in the face of an attacker with the most valuable memory corruption vulnerability at his or her disposal. It is implemented at the proper level in the compiler, early enough that the compiler itself can optimize the changes made by RAP to improve performance. Adding to this, RAP knows when checks should be made and more importantly, when those checks can be eliminated while provably not reducing the security of the defense. The checks performed at each location by RAP are much faster than competing CFI solutions, which means it doesn't have to reduce coverage to achieve high performance, and it can add even more defenses within its performance budget that competitors cannot match. Finally, RAP gets as close as possible to classifying which functions a particular call or jump site may use, and has the ability to make use of simple code changes to restrict the groups even further. It does this in a way that scales to large codebases by not requiring all the information about a program to be in memory at once.

Интересно-интересно, жаль что патчи вряд ли сольют.

Arlecchino ★★
()
Ответ на: комментарий от init_6

Никто это делать не станет

Пока что это никто не сделал, но не исключено что в будущем кто-то будет.
Посмотрим что будет дальше.

Arlecchino ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.