GPL based device, recht op root passwoord?

Wil je iets weten over de hardware van een computer? Draait je CPU fan niet meer? Je printer wil niet meer mee?
Dan moet je hier zijn.
Plaats reactie
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Stel ik koop een toestel met daarop GPL software, heb ik dan recht op root access op dat toestel?
Ik vind de GPL hierin niet erg duidelijk.
freggy
Member
Member
Berichten: 98
Lid geworden op: 09 sep 2011, 14:22
Uitgedeelde bedankjes: 3 keer
Bedankt: 20 keer

Neen, je hebt enkel recht op de broncode van de software-onderdelen die onder de GPL vallen, eventueel tegen betaling van leverkosten.
Stroper
Elite Poster
Elite Poster
Berichten: 1889
Lid geworden op: 24 aug 2011, 10:27
Uitgedeelde bedankjes: 95 keer
Bedankt: 154 keer
Recent bedankt: 1 keer

Voor zover mijn juridische kennis reikt:
bij GPLv2 is het antwoord neen, je hebt recht op de broncode, maar je hebt niet het recht om jouw eigen software op de hardware te zetten.

Bij GPLv3 zou je wel het recht hebben om eigen software erop te zetten, dus daarmee heb je waarschijnlijk ook het recht op het root wachtwoord.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ik denk dat je enkel dat kan eisen als conditie bij aankoop; waarbij het de verkoper uiteraard vrij staat om niet te verkopen.
Stroper
Elite Poster
Elite Poster
Berichten: 1889
Lid geworden op: 24 aug 2011, 10:27
Uitgedeelde bedankjes: 95 keer
Bedankt: 154 keer
Recent bedankt: 1 keer

Net even opgezocht.
Uit de GPL v3: https://www.gnu.org/licenses/gpl.html
“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source. The information must suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made.
Volgens mij heb je er dus recht op als het v3 is.
Vraag is natuurlijk wel bedrijf er van GPL3 code ipv. GPL2 code gebruik zal als er nog voldoende GPLv2 code(soms gewoon een vorige versie nemen), beschikbaar is.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Deze is nuttig:

http://fsfe.org/campaigns/gplv3/brussel ... ivoisation

So we've decided to block this, and the way we block it is as part of the conditions for distributing binaries, we say that if you distribute in, or for use in, a certain product, then you must provide whatever the user needs in order to install her own modified version and have them function the same way, unless her changes in the code change the function. But the point is that it's not just the user has to be able to install it and has to be able to run, but it has to be able to do the same job, despite having been modified.

-> dus als je een device koopt waar iets van GPLv3 op staat, dan kunnen ze niet verhinderen dat je zelf modified binaries installeert
-> dus het root passwoord moet je krijgen
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

De hamvraag is of je dat root-wachtwoord wel nodig hebt. De broncode van het GPL-besturingssysteem is toch voldoende?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Wie zegt dat het OS GPLv3 is... misschien is het louter de applicatie ?
freggy
Member
Member
Berichten: 98
Lid geworden op: 09 sep 2011, 14:22
Uitgedeelde bedankjes: 3 keer
Bedankt: 20 keer

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

r2504 schreef:Wie zegt dat het OS GPLv3 is... misschien is het louter de applicatie ?
Goeie vraag, maar ik had, misschien volledig onterecht, de indruk dat iemand te lui was om een volledig OS te compileren.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

https://www.gnu.org/licenses/gpl-3.0.en.html

6. Conveying Non-Source Forms.

...
“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source. The information must suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made.
en
If you convey an object code work under this section in, or with, or specifically for use in, a User Product, and the conveying occurs as part of a transaction in which the right of possession and use of the User Product is transferred to the recipient in perpetuity or for a fixed term (regardless of how the transaction is characterized), the Corresponding Source conveyed under this section must be accompanied by the Installation Information. But this requirement does not apply if neither you nor any third party retains the ability to install modified object code on the User Product (for example, the work has been installed in ROM).

Het gaat dus om sectie 6 in de GPLv3. Die beschrijft wat installation information is, deze omvat dus passwoorden of procedures om een gewijzigde versie van een binary te kunnen installeren, wanneer de originele binary onder sectie 6 werd overgebracht, dus in een non-source versie, dus binair.

Dus in principe als een fabrikant GPLv3 binaries op een toestel zet, moet hij ook toegang verschaffen tot het device aan de gebruiker, zodat de gebruiker aangepaste versies van die binary kan draaien.

Dus ja, bij GPLv3 ben je dus verplicht om het root passwoord te geven.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

De vraag in de praktijk is uiteraard niet "heb je er recht op", maar "als je er recht op hebt, hoe dwing je dat recht dan het makkelijkst af".
Want als een groot bedrijf "njet" zegt, kan jij wss wel gaan procederen; het gaat nl om een contract en geen wetgeving; naar de politie gaan en klacht indienen gaat dus niet veel helpen.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

ITnetadmin schreef:De vraag in de praktijk is uiteraard niet "heb je er recht op", maar "als je er recht op hebt, hoe dwing je dat recht dan het makkelijkst af".
Want als een groot bedrijf "njet" zegt, kan jij wss wel gaan procederen; het gaat nl om een contract en geen wetgeving; naar de politie gaan en klacht indienen gaat dus niet veel helpen.
Naar de devs stappen.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Je kan gewijzigde binaries ook installeren mbv sudo op een non-superuser account die in /etc/sudoers met NOPASSWD staat. Dat op zich is dus geen reden die het vrijgeven van een root password vereist.
Laatst gewijzigd door CCatalyst 11 apr 2017, 15:38, in totaal 1 gewijzigd.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

CCatalyst schreef:Je kan gewijzigde binaries ook installeren mbv sudo op een non-superuser account die in /etc/sudoers staat. Dat op zich is dus geen reden die het vrijgeven van een root password vereist.
klopt, maar het device in kwestie heeft een sshd lopen, maar de login gegevens zijn niet bekend
het device draait oa samba 3.X, wat gplv3 is
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

¯\_(ツ)_/¯

De context staat hier niet maar euhm ik zou toch niet rap een toestel deployen dat een open sshd draait waarvan je de login niet krijgt. Dat lijkt me vragen om intrusion/spyware. Sounds very phishy. De GPL-piste zou ik zelfs niet bewandelen, ik koop wel iets anders dat die logingegevens wel geeft (zoals ook de norm is).

Trouwens als die sshd "PermitRootLogin no" heeft staan ben je vet met je root passwd.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Het gaat om een device dat ik tegen mijn zin heb moeten overnemen. Verkoop 500 € incl btw, inkoop met shipping 475 €
De Duitse distributeur geeft bijna geen marge en de shipping is hoog, zelfs op apple verdient men meer.

Het is zo'n klein mediaspeler ding wat op busybox draait. Het ding indexeert upnp servers. Ze hebben hun eigen app. Er zit een ingebouwde DAC in en het kan ook externe USB dacs aansturen.

Een soort audiofiele raspberry dus.

Dit kastje stond bij één van onze dealers. Ik doe een aantal portscans en SMB scans op het ding, en plots beweert onze dealer waar dit concurrentiekastje staat, dat het mijn fout is, dat zijn kastje niks meer wil indexeren. Dus tegen mijn zin heb ik dan het kastje maar overgenomen om van het gezaag van mijn dealer af te zijn. Nochthans heb ik niet op dat ding aangelogd of iets veranderd, alles via de app van de fabrikant gedaan. Daarom wil ik uiteraard zelf op het kastje eens rondkijken. Maar de chinese fabrikant doet zeer lastig.

Ze willen zelfs dat ik een NDA teken. Allemaal zaken expliciet verboden door de GPL.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

ub4b schreef:chinese fabrikant
verloren moeite :cry:

Was het een Westerse fabrikant geweest zou je met wat sociale media pressure misschien wel wat kunnen bereiken. Maar China trekt zich daar niets van aan.

Als ik jou was zou ik het passwd gewoon proberen te brute-forcen. China zet meestal een dictionary password. Let wel op voor "PermitRootLogin no" en fail2ban en consoorten (maar dat configureert China meestal niet want dat wijkt al af van de default settings).
liber!
Elite Poster
Elite Poster
Berichten: 920
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 230 keer
Bedankt: 80 keer
Recent bedankt: 1 keer

Als je tot het grub menu geraakt kan je het volgende eenvoudig toevoegen:

Code: Selecteer alles

init=/bin/bash
Volgende stap is het rootfs rw te mount'n en passwd uit te voeren.

Je kan misschien ook de cf/hdd/... er uit halen en mount'n? Ik vermoed dat je toch niet veel garantie gaat krijgen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ub4b schreef:Dit kastje stond bij één van onze dealers. Ik doe een aantal portscans en SMB scans op het ding, en plots beweert onze dealer waar dit concurrentiekastje staat, dat het mijn fout is, dat zijn kastje niks meer wil indexeren. Dus tegen mijn zin heb ik dan het kastje maar overgenomen om van het gezaag van mijn dealer af te zijn.
Jij komt toch altijd van die bizarre dingen tegen met kastjes van concurrenten :roll:

Trouwens als het kastje niet meer doet wat het moet doen dan moet je dealer gaan klagen bij de fabrikant en niet bij jou.
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Als de brave man natuurlijk ook ub4b zijn spul verkoopt (en goed waarschijnlijk) dan is het misschien niet zo simpel maar inderdaad, die audiowereld is precies wel een speciaal ecosysteem.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Het is duidelijk dat de fabrikant niet wil dat we onder de moterkap kijken, schermt terug met een NDA.
Vragen ook om identiteitskaart en bewijs van adres.

Allemaal zaken die verboden zijn onder de GPL, ze hadden de source er maar moeten bijsteken.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Dan antwoord je toch gewoon terug dat het verboden is... uiteindelijk is dit jou spelletje dat je wil spelen met hun (daar kunnen wij weinig aan doen).
Plaats reactie

Terug naar “Hardware”