LINUX.ORG.RU

В Gentoo больше не будет Hardened-сборок ядра Linux

 , , ,


5

6

Проект Gentoo объявил, что в связи с тем, что патчи grsecurity стали закрытыми и несвободными, теперь больше нет возможности поддерживать hardened-сборки. Так как эта ветка больше не будет обновляться, 27 августа пакет будет скрыт, а до конца сентября - удален.

Рекомендуется перейти на стандартное ядро и использовать SELinux и средства усиления безопасности при сборке компонентов пространства пользователя. Также возможно пропатчить ядро на свой страх и риск неофициальными патчами gsecurity или Copperhead OS.

Анонс

>>> Полный текст новости

★★

Проверено: Pinkbyte ()
Последнее исправление: Pinkbyte (всего исправлений: 1)

Проект Gentoo объявил, что в связи с тем, что патчи grsecurity стали закрытыми и несвободными

Из всей той ахинеи я так и не понял. В чём проблема форкнуть старые?

a1batross ★★★★★
()

А фанатики Redhat с пеной у рта доказывали, что systemd не закроют и тивоизационный капкан не захлопнется. Лучше несвободная Windows со свободным железом, чем свободный Linux с несвободным тивоизированным железом.

anonymous
()
Ответ на: комментарий от a1batross

В чём проблема форкнуть старые?

Форкай, борись со stable api nonsense при портировании на новую версию ядра, впиливай новые фичи.

Становится апстримом для форка проекта, тем более такого, как GrSecurity - то еще удовольствие. Особенно при учете того, что ковыряться в потрохах придется самому, ибо вряд ли тебе поможет апстрим оригинального GrSecurity.

Pinkbyte ★★★★★
()

земля стекловатой. rip.

leg0las ★★★★★
()

Я так понимаю, патчи сделали платными, потому что у них много пользователей (а иначе бы не делали). Значит, будут и ебилды. Я очень надеюсь что кто-нибудь из пользователей, которые решили заплатить, создадут ебилды и оверлей. Как с Oracle JAVA и Crossover: ебилды есть, а исходник должен быть у вас.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от anonymous

написал очередной из толпы продакшн-пользователей харденед генту лол

mos ★★☆☆☆
()
Ответ на: комментарий от ZenitharChampion

Я так понимаю, патчи сделали платными, потому что у них много пользователей

Патчи сделали платными, потому что их тырят китайцы и выпускают с ними свой огороженный линукс, который потом зашивают в поделия и не обновляют. А когда там находят дыры - все шишки летят на товарищей из GrSecurity. Их это слегка достало(это понятно) и они психанули(а вот это уже плохо).

Я очень надеюсь что кто-нибудь из пользователей, которые решили заплатить, создадут ебилды и оверлей. Как с Oracle JAVA и Crossover: ебилды есть, а исходник должен быть у вас.

Уже есть форки, авторы правда говорят что планируют только багфиксы - никакого доп. функционала или бэкпортов из апстрима не будет. Ебилд напилить там несложно, но с официальной поддержкой Gentoo Hardened team решила не связываться.

Pinkbyte ★★★★★
()

Очень жаль, придётся учить SELinux. У кого есть истории успеха применения SELinux на десктопе? С Grsecurity было не всё так страшно.

Pravorskyi ★★★
()
Ответ на: комментарий от Pinkbyte

А почему решили не добавлять в дерево форк copperhead? Даже как ~ или -9999
Да и 4.9 вполне себе ядро, как в свежем дебиане, по крайней мере, пару лет будет актуально

TheAnonymous ★★★★★
()
Ответ на: комментарий от Pravorskyi

С Grsecurity было не всё так страшно.

Cерьезно? ACL осилил? И собственно зачем это ядро обновлять, если все настроенно по уму...

ving2
()
Ответ на: комментарий от Pinkbyte

Ебилд напилить там несложно, но с официальной поддержкой Gentoo Hardened team решила не связываться

Так а поддержка pax в пакетах тоже скоро всё, и вообще с багами про hardened будут сразу посылать?

TheAnonymous ★★★★★
()
Ответ на: комментарий от sehellion

Для тех, кто не в теме: а причем тут systemd?

Его точно также закроют и будут продавать за денежки.

anonymous
()
Ответ на: комментарий от Pinkbyte

Патчи сделали платными, потому что их тырят китайцы и выпускают с ними свой огороженный линукс, который потом зашивают в поделия и не обновляют. А когда там находят дыры - все шишки летят на товарищей из GrSecurity.

Гипотеза конечно хорошая, только вот в ней есть пробел - почему бы не сменить лицензию на MPL - Mozilla Public License? Собирать под именем GrSecurity нельзя, пусть выдумывают свое имя и сами шишки собирают. Так существовал IceWeasel, пока разработчик Debian в апстрим не вошел.

Lowes ★★
() автор топика
Ответ на: комментарий от ving2

Серьёзно. ACL там не сложный, IMHO, во всяком случае, я почти сходу понял логику работы и смог настроить песочницы для приложений.

И собственно зачем это ядро обновлять, если все настроенно по уму...

То, что когда кончится поддержка ядра или придётся обновиться на более свежую версию из-за уязвимостей или свежих драйверов (это же десктоп), то система окажется без настроенной превентивной защиты.

Лучше не затягивать с миграцией.

Pravorskyi ★★★
()
Ответ на: комментарий от Pravorskyi

Разве китайцев (кроме некоторых мировых брендов) волнуют лицензии?

В случае с MPL легче свои копирайты вставить, это же не деньги платить или чего-то в этом роде, нежели чем ее нарушать.

Lowes ★★
() автор топика
Последнее исправление: Lowes (всего исправлений: 1)
Ответ на: комментарий от Lowes

Кстати, а как они могут MPL для патчей применить, если те должны распространяться под лицензией GPLv2, иначе продукт (т.е., ядро) нельзя будет распространять? А вендорам такое не нужно.

Pravorskyi ★★★
()
Ответ на: комментарий от Pravorskyi

Они уже там судятся (или пока собираются) с каким-то уважаемым чуваком, которых их обвинил в нарушении GPLv2: у них доп.соглашение — слил исходники, лови разрыв контракта. Так что ебилдов не будет, если только разовые сливы и демарши.

Короче, я попкорнном запасся.

mandala ★★★★★
()
Ответ на: комментарий от sehellion

Тут как в анекдоте про прапорщика и трех бойцов.

Polugnom ★★★★★
()
Ответ на: комментарий от Lowes

Гипотеза конечно хорошая

Увы, это не гипотеза, это инсайд-инфа :-(

почему бы не сменить лицензию на MPL - Mozilla Public License? Собирать под именем GrSecurity нельзя, пусть выдумывают свое имя и сами шишки собирают. Так существовал IceWeasel, пока разработчик Debian в апстрим не вошел.

Это китайцы - тихо спёр и ушел, называется нашел. Им пофиг на смену имени, а все шишки - в адрес GrSecurity. Конечно психовать и закрывать проект - это большой пинок сообществу, но, увы, они в своём праве.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)

Почему кто-то верит какому-то «Васяну» (gsecurity) больше, чем Линусу Торвальдсу? Если эти hardened-патчи до сих пор не приняты в апстрим ядра, значит тому есть веская причина.

Rinaldus ★★★★★
()
Ответ на: комментарий от TheAnonymous

Так а поддержка pax в пакетах тоже скоро всё

Пока её закрывать не планируют, как сказано в анонсе - юзерспейс утилиты останутся на время миграции. Что будет с ними потом - хз. Вряд ли кто-то сможет тестить их работоспособность, потому что банально будет неоткуда взять свежее ядро с PaX-патчсетом.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Rinaldus

Если эти hardened-патчи до сих пор не приняты в апстрим ядра, значит тому есть веская причина.

Там причина больше идеологическая чем техническая. Примерно как с LVM и EVMS в своё время. Где теперь второй известно - на свалке истории. Хотя на момент, когда он был жив, он технически опережал по фичам LVM

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Патчи сделали платными, потому что их тырят китайцы и выпускают с ними свой огороженный линукс, который потом зашивают в поделия и не обновляют. А когда там находят дыры - все шишки летят на товарищей из GrSecurity.

Так они вроде давно платные. Но вот эта вот отмазка китайская не выдерживает никакой критики - то, что без обновлений будет плохо, понятно и дураку. Какие в таком случае могут быть наезды на grsecurity - непонятно, тем более, мало кто слышал вообще о них. Те, кто слышал, и так всё поймут. Далее, какие были шишки в сторону grsecurity? По тексту ведь подразумевается, что таки были и репутация пострадала.

Гораздо правдоподобней вариант денег - им ничего не давали (linux foundation и кто там ещё этим занимается), но давали KSPP. Линус озвучивал причины (вернее сказать, эта цитата про то, что патчи grsecurity - говно, но это, кмк, ровно те же причины, по которым grseciruty не давали денег):

Why?

They aren't split up, there has never been any effort by you to make them palatable to upstream, and when somebody else *dioes* try to make them palatable to upstream, you start crying about how people are taking advantage of your work (hah), and try to make them private instead.

So tell me, why shouldn't I consider them garbage? They are.

It's literally less work for people to re-implement things than look at your mixed-up patches, and YOU SEEM TO BE DOING THAT ON PURPOSE.

onlybugs ★★
()
Ответ на: комментарий от onlybugs

В любом случае я думаю ты согласишься, что закрытие сделано не по техническим причинам, а потому что кто-то психанул. Из-за потери репутации или из-за нехватки бабла, но психанул. Проблема что психанули они, а огребать - всему community. И вот это вот печально...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Проблема что психанули они, а огребать - всему community.

Да ладно, если вычеркнуть позёров, кричащих на каждом углу, что они пользуются только патчеными ядрами, шифруют все диски и пьют только свежемолотый кофе, то окажется не так и много нуждающихся.

Если компаниям нужно - они без проблем купят эти патчи. Сильно помешанные на безопасности и анонимности - вряд ли сильно огорчатся. Им разумнее иметь несколько машин и особо доверенные вообще не пускать в интернеты и даже в локалку домашнюю.

И вот это вот печально...

Есть повод для радости - это может дать пинка развитию того же KSPP.

onlybugs ★★
()
Ответ на: комментарий от onlybugs

Всё так. То, что кто-то якобы жаловался на баги закрытого продукта (кстати какого?) команде grsecurity, выглядит очень странно.

env ★★☆
()
Ответ на: комментарий от onlybugs

Есть повод для радости - это может дать пинка развитию того же KSPP.

Вряд ли это сделает его лучше. Это не первый случай, когда худшее с технической стороны решение выбирается для включения в ядро. Что делает Linux посредственным ядром с посредственными технологическими решениями. Но конкуренции апстриму нет, и вот это по-настоящему печально.

env ★★☆
()
Ответ на: комментарий от Pinkbyte

Проблема что психанули они, а огребать - всему community

И где было комунити когда «им ничего не давали (linux foundation и кто там ещё этим занимается), но давали KSPP»? Я бы тоже на их месте психанул - за мои же деньги/труды, я ещё и пидарас - нафиг такое комунити?

no-such-file ★★★★★
()

А что по поводу истории с Grsecurity думает Столлман?

Singularity ★★★★★
()
Ответ на: комментарий от no-such-file

И где было комунити когда

А за что им было деньги давать?

Я бы тоже на их месте психанул - за мои же деньги/труды, я ещё и пидарас - нафиг такое комунити?

Ещё раз, они не сделали даже попыток нормально оформить патчи, о чём линус и пишет. И пидорами их до этого никто не считал.

onlybugs ★★
()
Ответ на: комментарий от Pravorskyi

Открывай тему, задавай вопросы. По моим подсчётам здесь человек 5-6 точно с селинуксом помогут.

imul ★★★★★
()
Ответ на: комментарий от onlybugs

А за что им было деньги давать?

А чего тогда такой шум? Закрыли патчи, ну хер с ними. А получается «что имеем - не храним, потерявши - плачем».

они не сделали даже попыток нормально оформить патчи

Почему-то это не мешало патчи использовать. И сейчас не мешает.

no-such-file ★★★★★
()
Ответ на: комментарий от env

Это не первый случай, когда худшее с технической стороны решение выбирается для включения в ядро

Насколько я читал, запихнуть это в ядро не так уж просто, так что не всё так однозначно. И если посмотреть с нетехнической стороны - нафиг связываться вообще с неадекватами, может вылезти боком в будущем.

onlybugs ★★
()
Ответ на: комментарий от Pinkbyte

Политики в основном под распространённое серверное ПО. Но ноуте ака десктопе после выхлопа audit2allow хочется на витухе повеситься.

imul ★★★★★
()
Ответ на: комментарий от no-such-file

А чего тогда такой шум? Закрыли патчи, ну хер с ними.

Я, как скромный хомячок, ровно так и считаю.

Почему-то это не мешало патчи использовать.

Как сказать. Есть мнение, что это просто модно. Такие люди просто ставят всё подряд и не заморачиваются настройкой, без которой толку от этого мало. Зато можно похвалиться в интернетах.

onlybugs ★★
()
Ответ на: комментарий от sehellion

Для тех, кто не в теме: а причем тут systemd?

Подожди, пусть сначала расскажет, когда его закрыть успели. Или там прошедшее время относилось к фанатикам Редхата, которые теперь почему-то перестали доказывать?

kss ★★★★★
()
Последнее исправление: kss (всего исправлений: 1)
Ответ на: комментарий от Indexator

Им Родина SELinux дала - пользуйся!

Который стоит и иногда канючит на буржуйском про отказы и больше ничего полезного вроде не делает - вещь в себе, для эффективного использования на десктопе которой надо в специализипрованных университетах кончать, в отличии от касперыча.

Napilnik ★★★★★
()
Ответ на: комментарий от imul

А что, к GrSecurity или RSBAC есть вагон готовых политик под десктоп?

Справедливости ради, SELinux попопулярнее будет. Что не отменяет того факта, что он наркоманский

Тут скорее с AppArmor сравнивать стоит...

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Да я в курсе политик. И grsec использовал, потом слез именно на selinux. По сравнению с набором политик в дистрибутивах от красной шапки в дженте их кот наплакал. И если мигрировать, то лучше держать неподалёку ту же федору, чтобы набить руку.

imul ★★★★★
()
Ответ на: комментарий от imul

По сравнению с набором политик в дистрибутивах от красной шапки в дженте их кот наплакал. И если мигрировать, то лучше держать неподалёку ту же федору, чтобы набить руку.

Полностью согласен

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.