Inc8877 Dec 11 2018 at 15:12

Лучшая OS для безопасности: сравнение титанов

8 min

136K

Information Security**nix*

From sandbox

+13

Comments 40

maslyaev Dec 11 2018 at 15:43

В Kodachi весь трафик принудительно проходит через VPN, затем через сеть Tor с DNS шифрованием. (VPN уже преднастроен и к тому же он бесплатный).

Этот преднастроенный бесплатный сервер VPN физически находится в АНБ или на Лубянке?

предоставляет надежную, контр криминалистическую анонимную/безопасную операционную систему

А, понятно.

mr_tron Dec 11 2018 at 15:45

Автор путает анонимность и безопасность. Ну или имеется ввиду безопасность «чтобы по айпи не вычислили и пальцы не переломали». Заголовок должен быть «лучшие ос для анонимности». А так, говоря о вхуниксе, нельзя не вспомнить о qubes os. Это та ос, где вхуникс смотрится на своём месте, как составная часть.

EvgenySbl Nov 18 2023 at 12:52

Добрый день! Подскажите пожалуйста, какую ОС можно считать безопасной? Можно конечно начать с (B)LFS, но хотелось бы готовый продукт, а не собирать все с нуля. Кроме того не факт что глаз не замылиться и не пропустишь что то что является важным. Да и гарантировать невмешательтво в аппаратуру я не имею возможности. Я не о Intel ME и подобных технологиях, а о физическом доступе к системе.

Если что, программист встраиваемых систем, как устроены сетевые атаки, или атаки на приложения а так же методы защиты, вроде стековых канареек, битов защиты памяти знаю. С iptables на ты.

В идеале, хотелось бы собирать код с использованием компиляторов и кросс-компиляторов. Отлаживать продукты. Сталкивался с множественными атаками, связанными с физическим MITM и даже подменой оборудования. По этому, идельный вариант, это то что грузится с неизмениямого образа, и сохраняет данные на Flash. Flash, можно шифровать, но мне важнее целостность, т.е. подсчет контрольных сумм (md5, sha1). Работаю не на военных, но была ситуация с целенаправленными атаками продолжающимися несколько лет. Очень похоже на RedTeam. Был и ноутбук с bitlocker, и много чего еще. Знаю что мой текущий ноутбук загружется с стевой карты, возможно поменяли микросхему BIOS(UEFI) и используют PCI-E устройство как носитель при загрузке. Но против лома, как говориться нет приема. Я не Рокфеллер чтобы постоянно менять устройства, и пересобирать ОС у меня нет времени. Со второй проблемой разберусь, подскажите какую ОС выбрать? Можно конечно что-то совсем неклассическое, вроде WindRiver Linux. Но, боюсь, частнику такое не потянуть по деньгам, ломаное ПО я не ставлю и кроме того если нет техподдержки или нет доверия к продукту, сразу терятся смысл. Т.е. как видете, несмотря что хотелось бы для себя, подход серьезный, как и давление. Что касается сети, даже подумыал скачать полностью базу Ripe, локализовать DNS с использованием базы + множественных запросов с использованием шифрованного DNS. Когда то давно, уже писал браузер-тест под Android, который позволял логировать все что можно, и перехватывал все запросы к сети. Т.е. WebKit + свой "wget" с сохранением сертификатов, трафика. Разрабатывалось для Qualinet Systems. Видимо, нужно опускаться до такого уровня... хотя это уже порядком надоело.

А началось с того, что еще 10 назад, тормозили видео-ролики по WiFi. Думал, в чем дело. Я не думал что столкнусь с атаками, но полагаю кто то Reaver-использовал или нечто подобное, потом и в помещение проникали. Для них я идепльное подставное лицо был. Т.е. embedder, который обладает навыками реверс-инжиниринга, да еще и проекты такого рода были + интересовался безопасностью, но со стороны защиты.

Doctor5772 Dec 11 2018 at 17:27

В списке, вероятно, не хватает Gentoo Hardened, он вроде как тоже относится к «дистрибутиву для безопасности» (не для «анонимности»). Знающие данную тему, расскажите пожалуйста о плюсах и минусах данного дистрибутива.

Ronald_Riley Dec 11 2018 at 17:37

Речь о совершенно разных вещах. Тут человек пытался писать, пусть и очень-очень плохо, о дистрибутивах для анонимности, а Gentoo Hardened это попытка увеличить псевдобезопасность. Разные вещи и друг к другу не имеют отношения

Doctor5772 Dec 11 2018 at 17:53

Не спорю, безопасность при работе в сети важна. Но тут есть пересечение с безопасностью хранения данных и запуском отдельных приложений, из описания QubesOS. Так что автор темы смешал и сетевую безопасность, и безопасность на конкретных устройствах\виртуальных машинах.

Ronald_Riley Dec 11 2018 at 18:38

А автор просто не понимает о чем пишет, потому Qubes OS и свалил в общую кучу. К сожалению Йоанна Рутковска ушла из созданного ей же проекта, так что у проекта нет будущего.

mr_tron Dec 12 2018 at 19:37

Не Рутковски единой живы кубесы. Вроде развиваются и без неё, хотя пока рано судить.

Ronald_Riley Dec 12 2018 at 21:58

Ну конечно не Рутковски единой, но все же Йоанна — сильнейший специалист и ее уход сильный удар по проекту. Хотя у меня к проекту давно были вопросы(и два главных из них это «Ну почему, елки-палки, rpm-ад?» и «Ну зачем же ужасы KDE?»). Но, в любом случае, пожелаем им удачи.

Sn0WLi9ht Dec 11 2018 at 18:43

Gentoo Hardened на сколько я знаю перестал разрабатываться.

JerleShannara Dec 12 2018 at 03:59

Он не перестал, перестали разрабатывать hardened-sources ядро, по причине того, что в паблике его не стало.

Sn0WLi9ht Dec 13 2018 at 14:39

Тогда в чем фишка? Можно Gentoo Hardened с современным ядром как-то поставить?

JerleShannara Dec 14 2018 at 02:11

stage3 вроде как собраный с усилениями безопасности, gcc с усилением безопасности, выставленый флаг hardened у каких-то пакетов.

UFO just landed and posted this here

saipr Dec 11 2018 at 18:40

А чем ответят наши отечественные форки от Linux, на которых зиждется импортозамещение?

Ronald_Riley Dec 11 2018 at 21:48

А у вас есть форки ядра Linux? Мне казалось, что бюджетных денег в РФ хватает только на множественные пересборки Debian, как дистрибутива, а никаких ФОРКОВ Linux у вас нет, не было и не будет.
Можете подробней рассказать про ваши форки ядра Linux? Думаю всем будет интересно услышать.

ValdikSS Dec 11 2018 at 22:05

Отечественные крутые ОС есть, например, Астра Линукс. Грамотное разделение привилегий, мандатный контроль всего что только можно.

gaidukav Dec 12 2018 at 00:41

В Астре только и есть «Грамотное разделение привилегий, мандатный контроль всего что только можно». Пользоваться этой осью обычному пользователю невозможно, ну типа документы/таблицы/бровзер/электропочта — это все работает из рук вон плохо. Совместимость с «внешним, не импортозамещённым» миром ниже плинтуса, функциональность никакая.
Про другие «импортозамещённые» линуксы аналогичная история, в большинстве случаев это новые нескучные обои и поломанный функционал оригинальных дистрибутивов, из которых выросло это изделие.
Про собственные репозитарии с обновлениями — нет гарантии что они будут работать через пол года.

McDermott Dec 12 2018 at 09:55

Про собственные репозитарии с обновлениями — нет гарантии что они будут работать через пол года.

Когда я летом этого года имел дело с Астра Линукс, репозитории производителя не работали совсем.

Andrusha Dec 12 2018 at 12:35

Если речь про Special Edition, то это так и задумано :)

McDermott Dec 12 2018 at 12:49

Как это? Производитель поставляет операционную систему, в которой невозможно скачать дополнительные компоненты или обновить существующие из безопасных источников производителя? Сторонние репозитории добавились и работали.

Andrusha Dec 12 2018 at 15:35

Особенности сертификации этой редакции дистрибутива. Все обновления и дополнительные пакеты только с поставляемых образов дисков. В обычном издании должно всё работать.

McDermott Dec 12 2018 at 16:07

Интересная информация, спасибо. Но, если это и было задумано, то реализовано очень плохо — с другого, «потенциально опасного», репозитория пакеты устанавливались.

Andrusha Dec 12 2018 at 21:41

Я не думаю, что разработчики ставили цель всеми силами помешать ставить сторонние пакеты. Просто вы, воспользовавшись сторонним репозиторием, нарушили условия сертификации, и теоретически кому-то за это может впоследствии влететь. Практически, думаю, всем пофиг.

dakulinichev Dec 17 2018 at 00:16

У Special Edition другая задача и задумка, она сертифицирована под работу с мандатными метками и грифом до «сс» включительно, как правило под неё спец по разрабатывает конечный пользователь. А все что теоретически может понадобиться — на диске с дистрибутивом есть. Особенно ответственно подошли к развлечениям, теперь у какого нибудь дежурного целых 18 видов пасьянса есть)

Ronald_Riley Dec 12 2018 at 05:54

И давно пересобранный скриптом старый Debian стал «отечественной ОС»? Ну мне просто интересно.

JerleShannara Dec 12 2018 at 22:39

Пруфы будут?

Ronald_Riley Dec 13 2018 at 00:01

На то, что Astra — пересобранный Debian?
astralinux.ru вот тебе пруф
Скачиваешь и убеждаешься. Елки-палки, пока еще никто и не пытался выдавать Астры и прочие Росы за собственное, они не скрывают, что это — пересборка настоящих дистрибутивов и что можно подключить оригинальные репы. То есть к Астре можно подключить репы от Дэбиана, все будет ставится и работать, потому что Астра это всего лишь пересборка Дэбиана с изменением названий и перешибанием копирайтов. НИЧЕГО своего там никогда не было.

habr.com/post/432798/?reply_to=19491272#comment_19491154
Говорит о том же.

Andrusha Dec 13 2018 at 00:18

НИЧЕГО своего там никогда не было.

Расскажите, у кого они утащили FLY Desktop, раз уж так разбираетесь в теме.

JerleShannara Dec 13 2018 at 00:55

Ой, а как мне оттуда скачать релиз «Смоленск», CE мне совершенно неинтересен?

dakulinichev Dec 17 2018 at 00:19

Попросить на тестирование релиз смоленск, версии 1.6. Он не прошёл сертификацию ещё и его направо и налево раздают всем страждущим. support@astralinux.ru — пишите письма )

saipr Dec 12 2018 at 22:13

В чем же эта крутизна у Астры Линукс, в частности. Назовите хоть один отечественный продукт, включенный в Астру. Да, товарищи ниже все уже написали. Даже смешные плюхи не исправлены. Какие? Вот первая, а вот и вторая. Я уж не говорю про поддержку отечественной криптографии.

saipr Dec 12 2018 at 22:08

Это надо к производителям Астры, Альта, Росы, да много чего там… Весь алфавит

Ronald_Riley Dec 12 2018 at 22:59

1. Альт — независимый дистрибутив
2. Астры, Росы, МСВСы — пересоборки Debian и CentOS(кто чего)

Но никто из них не является форком Linux(это такое ядро), а всего лишь являются дистрибутивами ОС на базе ядра Linux. Никаких форков Linux среди них не замечено.

saipr Dec 13 2018 at 14:39

Никаких форков Linux среди них не замечено.

А что же в них есть? В этих импортозаместителях, подскажите

bbasil Dec 11 2018 at 18:43

Не понятно, речь про анонимность или речь про безопасность.
Если про первое, то следует рассматривать именно программные продукты обеспечивающие это, а не OS.
Если про второе, то какое отношение это имеет в Linux? и почему не были рассмотрены другие OS не базирующиеся на ядре Linux.
Либо следует исправить заголовок на «Лучший дистрибутив Linux для безопасности: сравнение титанов»

selivanov_pavel Dec 11 2018 at 21:41

+1, я прочитав заголовок ожидал увидеть сравнение Linux/OpenBSD/QNX, а не дистрибутивов одного и того же Linux.

igrblkv Dec 11 2018 at 23:04

… дистрибутивов одного и того же Debian Linux.

Tangeman Dec 12 2018 at 02:05

Безопасность — это не продукт, а процесс. Простите за банальность.

unseriously Dec 12 2018 at 23:52

Нубский вопрос в тему: возможно ли как-то на убунте ходить в интернет, чтоб посещенные сайты не были видны никому (в частности системному администратору) — ничего серьезного или незаконного, просто хочу ходить в инет, но чтоб никто этого не видел. Достаточно ли для этого будет браузера Тор? Или для моего случая нужно использовать как раз один из вышеперечисленных дистрибутивов?

Show the best of all time