GPL based device, recht op root passwoord?

[ubremoved_2964]

Stel ik koop een toestel met daarop GPL software, heb ik dan recht op root access op dat toestel?
Ik vind de GPL hierin niet erg duidelijk.

[freggy]

Neen, je hebt enkel recht op de broncode van de software-onderdelen die onder de GPL vallen, eventueel tegen betaling van leverkosten.

[Stroper]

Voor zover mijn juridische kennis reikt:
bij GPLv2 is het antwoord neen, je hebt recht op de broncode, maar je hebt niet het recht om jouw eigen software op de hardware te zetten.

Bij GPLv3 zou je wel het recht hebben om eigen software erop te zetten, dus daarmee heb je waarschijnlijk ook het recht op het root wachtwoord.

[ITnetadmin]

Ik denk dat je enkel dat kan eisen als conditie bij aankoop; waarbij het de verkoper uiteraard vrij staat om niet te verkopen.

[Stroper]

Net even opgezocht.
Uit de GPL v3: https://www.gnu.org/licenses/gpl.html

“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source. The information must suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made.

Volgens mij heb je er dus recht op als het v3 is.
Vraag is natuurlijk wel bedrijf er van GPL3 code ipv. GPL2 code gebruik zal als er nog voldoende GPLv2 code(soms gewoon een vorige versie nemen), beschikbaar is.

[ubremoved_2964]

Deze is nuttig:

http://fsfe.org/campaigns/gplv3/brussel ... ivoisation

So we've decided to block this, and the way we block it is as part of the conditions for distributing binaries, we say that if you distribute in, or for use in, a certain product, then you must provide whatever the user needs in order to install her own modified version and have them function the same way, unless her changes in the code change the function. But the point is that it's not just the user has to be able to install it and has to be able to run, but it has to be able to do the same job, despite having been modified.

-> dus als je een device koopt waar iets van GPLv3 op staat, dan kunnen ze niet verhinderen dat je zelf modified binaries installeert
-> dus het root passwoord moet je krijgen

[raf1]

De hamvraag is of je dat root-wachtwoord wel nodig hebt. De broncode van het GPL-besturingssysteem is toch voldoende?

[ubremoved_539]

Wie zegt dat het OS GPLv3 is... misschien is het louter de applicatie ?

[freggy]

http://gplv3.fsf.org/wiki/index.php/FAQ ... oftware.3F

[raf1]

Wie zegt dat het OS GPLv3 is... misschien is het louter de applicatie ?

Goeie vraag, maar ik had, misschien volledig onterecht, de indruk dat iemand te lui was om een volledig OS te compileren.

[ubremoved_2964]

https://www.gnu.org/licenses/gpl-3.0.en.html

6. Conveying Non-Source Forms.

...

“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source. The information must suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made.

en

If you convey an object code work under this section in, or with, or specifically for use in, a User Product, and the conveying occurs as part of a transaction in which the right of possession and use of the User Product is transferred to the recipient in perpetuity or for a fixed term (regardless of how the transaction is characterized), the Corresponding Source conveyed under this section must be accompanied by the Installation Information. But this requirement does not apply if neither you nor any third party retains the ability to install modified object code on the User Product (for example, the work has been installed in ROM).

Het gaat dus om sectie 6 in de GPLv3. Die beschrijft wat installation information is, deze omvat dus passwoorden of procedures om een gewijzigde versie van een binary te kunnen installeren, wanneer de originele binary onder sectie 6 werd overgebracht, dus in een non-source versie, dus binair.

Dus in principe als een fabrikant GPLv3 binaries op een toestel zet, moet hij ook toegang verschaffen tot het device aan de gebruiker, zodat de gebruiker aangepaste versies van die binary kan draaien.

Dus ja, bij GPLv3 ben je dus verplicht om het root passwoord te geven.

[ITnetadmin]

De vraag in de praktijk is uiteraard niet "heb je er recht op", maar "als je er recht op hebt, hoe dwing je dat recht dan het makkelijkst af".
Want als een groot bedrijf "njet" zegt, kan jij wss wel gaan procederen; het gaat nl om een contract en geen wetgeving; naar de politie gaan en klacht indienen gaat dus niet veel helpen.

[ubremoved_2964]

De vraag in de praktijk is uiteraard niet "heb je er recht op", maar "als je er recht op hebt, hoe dwing je dat recht dan het makkelijkst af".
Want als een groot bedrijf "njet" zegt, kan jij wss wel gaan procederen; het gaat nl om een contract en geen wetgeving; naar de politie gaan en klacht indienen gaat dus niet veel helpen.

Naar de devs stappen.

[CCatalyst]

Je kan gewijzigde binaries ook installeren mbv sudo op een non-superuser account die in /etc/sudoers met NOPASSWD staat. Dat op zich is dus geen reden die het vrijgeven van een root password vereist.

[ubremoved_2964]

Je kan gewijzigde binaries ook installeren mbv sudo op een non-superuser account die in /etc/sudoers staat. Dat op zich is dus geen reden die het vrijgeven van een root password vereist.

klopt, maar het device in kwestie heeft een sshd lopen, maar de login gegevens zijn niet bekend
het device draait oa samba 3.X, wat gplv3 is

[CCatalyst]

¯\_(ツ)_/¯

De context staat hier niet maar euhm ik zou toch niet rap een toestel deployen dat een open sshd draait waarvan je de login niet krijgt. Dat lijkt me vragen om intrusion/spyware. Sounds very phishy. De GPL-piste zou ik zelfs niet bewandelen, ik koop wel iets anders dat die logingegevens wel geeft (zoals ook de norm is).

Trouwens als die sshd "PermitRootLogin no" heeft staan ben je vet met je root passwd.

[ubremoved_2964]

Het gaat om een device dat ik tegen mijn zin heb moeten overnemen. Verkoop 500 € incl btw, inkoop met shipping 475 €
De Duitse distributeur geeft bijna geen marge en de shipping is hoog, zelfs op apple verdient men meer.

Het is zo'n klein mediaspeler ding wat op busybox draait. Het ding indexeert upnp servers. Ze hebben hun eigen app. Er zit een ingebouwde DAC in en het kan ook externe USB dacs aansturen.

Een soort audiofiele raspberry dus.

Dit kastje stond bij één van onze dealers. Ik doe een aantal portscans en SMB scans op het ding, en plots beweert onze dealer waar dit concurrentiekastje staat, dat het mijn fout is, dat zijn kastje niks meer wil indexeren. Dus tegen mijn zin heb ik dan het kastje maar overgenomen om van het gezaag van mijn dealer af te zijn. Nochthans heb ik niet op dat ding aangelogd of iets veranderd, alles via de app van de fabrikant gedaan. Daarom wil ik uiteraard zelf op het kastje eens rondkijken. Maar de chinese fabrikant doet zeer lastig.

Ze willen zelfs dat ik een NDA teken. Allemaal zaken expliciet verboden door de GPL.

[CCatalyst]

chinese fabrikant

verloren moeite

Was het een Westerse fabrikant geweest zou je met wat sociale media pressure misschien wel wat kunnen bereiken. Maar China trekt zich daar niets van aan.

Als ik jou was zou ik het passwd gewoon proberen te brute-forcen. China zet meestal een dictionary password. Let wel op voor "PermitRootLogin no" en fail2ban en consoorten (maar dat configureert China meestal niet want dat wijkt al af van de default settings).

[liber!]

Als je tot het grub menu geraakt kan je het volgende eenvoudig toevoegen:

Code: Selecteer alles

init=/bin/bash

Volgende stap is het rootfs rw te mount'n en passwd uit te voeren.

Je kan misschien ook de cf/hdd/... er uit halen en mount'n? Ik vermoed dat je toch niet veel garantie gaat krijgen.

[ubremoved_539]

Dit kastje stond bij één van onze dealers. Ik doe een aantal portscans en SMB scans op het ding, en plots beweert onze dealer waar dit concurrentiekastje staat, dat het mijn fout is, dat zijn kastje niks meer wil indexeren. Dus tegen mijn zin heb ik dan het kastje maar overgenomen om van het gezaag van mijn dealer af te zijn.

Jij komt toch altijd van die bizarre dingen tegen met kastjes van concurrenten

Trouwens als het kastje niet meer doet wat het moet doen dan moet je dealer gaan klagen bij de fabrikant en niet bij jou.

[tb0ne]

Als de brave man natuurlijk ook ub4b zijn spul verkoopt (en goed waarschijnlijk) dan is het misschien niet zo simpel maar inderdaad, die audiowereld is precies wel een speciaal ecosysteem.

[ubremoved_2964]

Het is duidelijk dat de fabrikant niet wil dat we onder de moterkap kijken, schermt terug met een NDA.
Vragen ook om identiteitskaart en bewijs van adres.

Allemaal zaken die verboden zijn onder de GPL, ze hadden de source er maar moeten bijsteken.

[ubremoved_539]

Dan antwoord je toch gewoon terug dat het verboden is... uiteindelijk is dit jou spelletje dat je wil spelen met hun (daar kunnen wij weinig aan doen).