虽然自己也是用Linux一段时间了,也是个爱好者
(目前就正在Arch Linux笔电上面打这篇废文)
不过还是说一下,这世界上没有永远安全的存在
尤其最近有个很大的安全维护patch的计画,GRSecurity,
不再愿意提供免费的test patch
LWN上面也有报导:
https://lwn.net/Articles/721848/
https://lwn.net/Articles/720983/
这是既前年年底不再提供stable patch后
(https://lwn.net/Articles/655721)
更进一步的紧缩
我个人觉得这对于很多Linux Hardening的计画
e.g. Gentoo Hardened
是很沈重的事情
GRSecurity背后的公司“Open Source Security”
其实长年以来就有对Kernel的架构做出一些建言
但是常常碰壁
LSM跟SELinux目前的发展,老实说我个人是觉得不甚乐观
(AppArmor那个Canonical自己在玩的就......)
如果我没记错,好像Android有在考虑要不要放弃SELinux
(正在挖mail确认... 订太多mailing list忘记是哪边看到的)
因为TypeEnforcement的rules实在不是很好写
开源的好处是有bug大家修
但就像吃饭一样,开发者还是有口味偏好的
不是所有的部份都有人在顾
安全大家用讲的都是可以讲得自己设定得固若金汤/分毫不妥协
可一但当rule卡到时,几乎第一个反应就是上网去google
"How to disable SELinux/AppArmor"
不行再加个
"How to disable SELinux/AppArmor COMPLETELY"
= = = = = = = = =
顺带一题,有人会说?
咦 ? Linux Kernel是GPL v2的啊
那怎么不会有人买完GRSecurity的patch set后放出来给外人用呢?
嗯,这里面藏有一招做Open Source公司很常用的GPL'd workaround — —
Subscription Service Agreement (订阅服务同意条款)
有另外一间很大的公司,Red Hat在跟Oracle打起来时就开始改用这套战法。
条文撷取如下:
Distributing the Software and Services (or any portion) to a third party
outside the Portal or using the Software and/or Services to support a third party
without paying for each Instance is a material breach of this Agreement
even though the open source license applicable to individual software packages may
give you the right to distribute those packages
(and this Agreement is not intended to interfere with your rights under
those individual licenses)
“发布此软件或订阅服务之任何一部分给没有付费的任何第三人,
都会被视为是对本条款的侵害。
即便个别的软件包的授权条款允许您如此做也亦然。
本条约无意干扰个别软件包内的授权协议给予您的权力。”
这是个有趣的玩法:
Linux是GPL v2授权的code,也限制不能修改本体追加限制条款,
没人可以限制你不能无偿再散布Red Hat对Linux Kernel的patch;
但Red Hat跟你签了另外的一份“订阅契约”
据此Red Hat能冻结你的订阅权限,甚至把你打成黑名单不再给你订。
如果是一般的软件,
了不起一年一两次新版,
你可以靠人头堆尸战术跟他拼了没在怕的。
但安全性更新这种是有其持续性的,
0-day每天都在阴暗的角落被发现,
是场无尽的猫捉老鼠游戏。
无论你有多少人都是徒劳 — — 你永远需要最新的那一份。
GRSecurity的订阅条例,其实也是仿效于此。
(其实Red Hat还不是打响这种收费模式第一砲的,
更早之前是一间玩Router的公司Sveasoft把这招玩到闹上台面,
也导致后来AGPL这类更强力的GPL变种出现)