雖然自己也是用Linux一段時間了,也是個愛好者
(目前就正在Arch Linux筆電上面打這篇廢文)
不過還是說一下,這世界上沒有永遠安全的存在
尤其最近有個很大的安全維護patch的計畫,GRSecurity,
不再願意提供免費的test patch
LWN上面也有報導:
https://lwn.net/Articles/721848/
https://lwn.net/Articles/720983/
這是既前年年底不再提供stable patch後
(https://lwn.net/Articles/655721)
更進一步的緊縮
我個人覺得這對於很多Linux Hardening的計畫
e.g. Gentoo Hardened
是很沈重的事情
GRSecurity背後的公司「Open Source Security」
其實長年以來就有對Kernel的架構做出一些建言
但是常常碰壁
LSM跟SELinux目前的發展,老實說我個人是覺得不甚樂觀
(AppArmor那個Canonical自己在玩的就......)
如果我沒記錯,好像Android有在考慮要不要放棄SELinux
(正在挖mail確認... 訂太多mailing list忘記是哪邊看到的)
因為TypeEnforcement的rules實在不是很好寫
開源的好處是有bug大家修
但就像吃飯一樣,開發者還是有口味偏好的
不是所有的部份都有人在顧
安全大家用講的都是可以講得自己設定得固若金湯/分毫不妥協
可一但當rule卡到時,幾乎第一個反應就是上網去google
"How to disable SELinux/AppArmor"
不行再加個
"How to disable SELinux/AppArmor COMPLETELY"
= = = = = = = = =
順帶一題,有人會說?
咦 ? Linux Kernel是GPL v2的啊
那怎麼不會有人買完GRSecurity的patch set後放出來給外人用呢?
嗯,這裡面藏有一招做Open Source公司很常用的GPL'd workaround — —
Subscription Service Agreement (訂閱服務同意條款)
有另外一間很大的公司,Red Hat在跟Oracle打起來時就開始改用這套戰法。
條文擷取如下:
Distributing the Software and Services (or any portion) to a third party
outside the Portal or using the Software and/or Services to support a third party
without paying for each Instance is a material breach of this Agreement
even though the open source license applicable to individual software packages may
give you the right to distribute those packages
(and this Agreement is not intended to interfere with your rights under
those individual licenses)
「發布此軟體或訂閱服務之任何一部分給沒有付費的任何第三人,
都會被視為是對本條款的侵害。
即便個別的軟體包的授權條款允許您如此做也亦然。
本條約無意干擾個別軟體包內的授權協議給予您的權力。」
這是個有趣的玩法:
Linux是GPL v2授權的code,也限制不能修改本體追加限制條款,
沒人可以限制你不能無償再散布Red Hat對Linux Kernel的patch;
但Red Hat跟你簽了另外的一份「訂閱契約」
據此Red Hat能凍結你的訂閱權限,甚至把你打成黑名單不再給你訂。
如果是一般的軟體,
了不起一年一兩次新版,
你可以靠人頭堆屍戰術跟他拼了沒在怕的。
但安全性更新這種是有其持續性的,
0-day每天都在陰暗的角落被發現,
是場無盡的貓捉老鼠遊戲。
無論你有多少人都是徒勞 — — 你永遠需要最新的那一份。
GRSecurity的訂閱條例,其實也是仿效於此。
(其實Red Hat還不是打響這種收費模式第一砲的,
更早之前是一間玩Router的公司Sveasoft把這招玩到鬧上檯面,
也導致後來AGPL這類更強力的GPL變種出現)