https://www.opennet.ru/openforum/vsluhforumID3/111688.html Брюс Перенс (Bruce Perens (https://en.wikipedia.org/wiki/Bruce_Perens)), один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian (в 1996 году сменил на посту Яна Мердока), ntributory-infringement-risk-for-customers/ предоставил (http://perens.com/blog/2017/06/28/warning-grsecurity-potential-co) свою экспертную оценку действиям проекта Grsecurity, пытающегося противостоять переносу своих наработок в основное ядро Linux. <br><br>Напомним, что в апреле проект Grsecurity прекратил публичное распространение своих патчей из-за несогласия с деятельностью проекта KSPP (Kernel Self Protection Project), занимающегося переносом в основное ядро Linux методов защиты, развиваемых Grsecurity. <br>Мотивы борьбы с переносом Grsecurity в состав ядра достаточно разнообразные, от обхода в финансировании (вместо основного проекта Linux Foundation и Core Infrastructure Initiative выделили грант KSPP) до нежелания загонять себя в https://www.opennet.ru/openforum/vsluhforumID3/111688.html#174 Fri, 21 Jul 2017 13:34:47 GMT &gt; А, ну... Это-то, кончно, да, за одним нюансом: в пакет расширенные атрибуты <br>&gt; не завернёшь.<br><br>google://paxctld<br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#173 Wed, 19 Jul 2017 20:06:43 GMT <br>&gt;&gt; Ну и что с такой системой делать?<br>&gt; Читать документацию и работать без проблем? :) <br><br>А, ну... Это-то, кончно, да, за одним нюансом: в пакет расширенные атрибуты не завернёшь.<br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#172 Sun, 16 Jul 2017 07:57:03 GMT будут выдавать блюрей-диск/записывать на флешку, делов то<br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#171 Sun, 16 Jul 2017 06:16:45 GMT Им же по человечески ответили. Копипастите наши патчи тогда не затирайте наш копирайт и атворов. Или на Linux Kernel не распространяется и они особенные? <br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#170 Sun, 16 Jul 2017 04:31:31 GMT &gt; Да запросто прокатят.<br><br>Они не machine-readable. Кроме того, там есть примечание для таких хитрованов как вы:<br>medium customarily used for software interchange<br><br>Глинянные таблички и молекулы ДНК не часто используются для обмена программным обеспечением. Я наверное не ошибусь, если скажу что не было в истории таких случаев.<br><br>Сейчас даже перфолента или дискеты не прокатят. Общепринято меняться через веб-сайт, флешки, карты памяти, компакт-диски. Иногда через жёсткие диски обмениваются.<br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#169 Sat, 15 Jul 2017 17:12:49 GMT &gt; и глиняные таблички не прокатят.<br><br>Да запросто прокатят.<br><br>[quote]<br>Сфотографируйте любой печатный текст камерой смартфона или планшета &#8211; и получите его в электронном виде благодаря приложению ABBYY TextGrabber + Translator для Android.<br>[/quote]<br>Отсюда: https://www.abbyy.com/ru-ru/textgrabber-translator/android/<br><br>Кстати, это мысль - создать устройство, которое анализирует белковые молекулы в пробирке и<br>переводит это в текст.<br>Исходники распространять в молекулах белка бесплатно, устройство продавать.<br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#167 Fri, 14 Jul 2017 21:04:33 GMT &gt;&gt; Ну да конечно, только вот их патчи на 99.9% защищают от всех експлойтов.<br>&gt; Истина. Они защищают от 99% эксплоитов. А ещё с их патчами огромное <br>&gt; число программ просто откажутся запускаться. Запустите JVM, запустите Racket. Не получается?<br><br>Эти программы точно так же не запустятся, если посредством SELinux им запретить помечать страницы памяти на запись и исполнение кода (нарушение правила W^X). Значит ли это, что SELinux несовместим с нормальной работой системы? Нет, это значит, что SELinux реализует ограничения, которые для некоторых приложений включать не стоит.<br><br>В Grsecurity ситуация обстоит точно также: всем процессам в системе по умолчанию запрещено нарушать правило W^X, из-за которого закономерно не работают приложения, использующие JIT-компиляцию. Но этот запрет можно отключить выборочно, конкретно для этих приложений (выставив флаги ФС через setfattr: setfattr -n user.pax.flags -v m /path/to/the/executable), либо для всей системы. Причём, в последнем случае - как на этапе сборки ядра (собирать https://www.opennet.ru/openforum/vsluhforumID3/111688.html#166 Fri, 14 Jul 2017 09:09:13 GMT &gt; Ну да конечно, только вот их патчи на 99.9% защищают от всех експлойтов.<br><br>Истина. Они защищают от 99% эксплоитов. А ещё с их патчами огромное число программ просто откажутся запускаться. Запустите JVM, запустите Racket. Не получается? А Emacs запустится ли, как думаете? Нет?<br><br>Ну и что с такой системой делать?<br> https://www.opennet.ru/openforum/vsluhforumID3/111688.html#165 Thu, 13 Jul 2017 13:08:14 GMT &gt; Подскажите пожалуйста ресурсы на русском где обсуждается практическое использование Grsecurity <br>&gt; дома и на работе<br><br>На русском припоминаю только статьи на хабре лет 6-8 назад. Без базового знания английского будет тяжко, если дело в этом.<br><br>&gt; и какой из дистрибутивов с Grsecurity вы <br>&gt; бы порекомендовали для начинающего "параноика", исходя из своего опыта.<br><br>Любой на основе Debian, желательно без systemd. Например, Devuan или Ubuntu с upstart-sysv. Можно попробовать Subgraph OS или Alpine (последний больше подходит для серверов), но сам ими не пользуюсь, поэтому рекомендовать не могу.<br><br>Исходники Grsecurity можно брать на гитхабе (ожидается, что будут доступны примерно в течение пары лет; дальше перспективы неясны):<br>https://github.com/minipli/linux-unofficial_grsec - неофициальная версия, сопровождаемая Матиасом Краузе. Человек вполне надёжный, да и из альтернатив на данный момент существует только неофициальный порт в Alpine.<br>