Grsecurity, el conjunto de parches que tienen como objetivo endurecer la seguridad del Linux Kernel, dejará de ofrecer ediciones gratuitas. Estará por tanto disponible únicamente para aquellos clientes que estén dispuestos a pagar por su desarrollo. Es una medida que ya habían tomado con anterioridad respecto a las ediciones LTS del nucleo y que ahora se extiende de forma general.
El proyecto que dirige Brad Spengler incluye elementos como: PaX para evitar fugas de memoria, un sistema de control de acceso en base a roles y mínimos privilegios, entorno chroot, control de las conexiones de red, prevención de ataques de fuerza bruta, direcciones aleatorias de los procesos de memoria en el kernel (ASLR) que dificultan la inyección de código malicioso y la explotación de vulnerabilidades, así como sistemas de auditoría adicionales dirigidos a usuarios, grupos o tipo de operación, además de otro tipo de protecciones.
Por diversas razones que más adelante comentaremos, la mayoría de esas modificaciones no están integradas en la linea principal del kernel, ello no impide que nos podamos encontrar versiones de Linux Grsecurity en los repositorios de varias distros. O por lo menos podíamos hasta la edición 4.9, la última disponible para no subscriptores.
Aunque el anuncio por parte de la gente de grsecurity no entra en detalles, no es ningún secreto que la aproximación al asunto de la seguridad por Linux y el núcleo duro de desarrolladores que trabajan en la rama principal del kernel es diferente.
Básicamente se resume en que un fallo de seguridad –a menos que sea muy grave– debe ser tratado como otro bug cualquiera (huir de todo ese “circo montado alrededor de la seguridad” que diría Torvalds). Algo que será resuelto en una próxima edición del kernel, sin necesidad de sacrificar el rendimiento por determinadas políticas de seguridad, a las que no se otorga una especial jerarquía sobre el resto.
En grsecurity están más en el desarrollo de defensas proactivas y herramientas para evitar los fallos de seguridad más comunes, sin depender de correcciones de fallos puntuales. Algo en lo que la Fundación Linux también está empezando a trabajar a través de un proyecto llamado Kernel Self Protection.
Y ahí creo que es donde ha surgido el punto de discordia definitivo. A los tradicionales debates sobre la falta de colaboración a la hora de facilitar la integración en el kernel y escasa sintonía entre Spengler y Torvalds, se une ahora la acusación de que el Kernel Self Protection Project se estaba apropiando del trabajo realizado por grsecurity.
Si a ello añadimos que los desarrolladores de grsecurity no perciben dinero por parte de la Fundación Linux por realizar su trabajo, se puede entender mejor esta medida.
Al igual que el Kernel, los parches de grsecurity se rigen por la licencia GPLv2. Como resultado de su nueva política de ventas, tan solo estarán obligados a proporcionar el código fuente a aquellas empresas o particulares a los que distribuya el software.
Sin embargo legalmente nada impediría a estos su posterior redistribución, aunque probablemente resultaría en una cancelación de la suscripción a sus servicios.
Fuente: lamiradadelreplicante