Коли модель безпеки luppy luppy має сенс?

Я щойно провів кілька годин, граючи з luppy linux, який має дуже приємні функції, але є деякі речі щодо його підходу до безпеки (принаймні налаштування за замовчуванням), які мене хвилюють:

1. Здається, що призначений спосіб його використання - запустити все як root
2. Немає пароля для root (за замовчуванням-- звичайно, я можу додати його)
3. Наскільки я можу сказати, не існує автоматизованого (або навіть простого неавтоматизованого) способу отримання оновлень безпеки для пакетів. (Я, можливо, щось пропустив.)

Мені завжди було в голові важливо мати складний пароль: не переглядати Інтернет в якості адміністратора / root користувача, а також постійно підтримувати системне програмне забезпечення (і браузер, і плагіни) з патчами для останніх уразливих місць. Однак, незважаючи на те, що на мене схожий на рецепт катастрофи (викладений вище), Щеня досить популярний, щоб мати багато віджимань, тому повинні бути сценарії, коли очевидний брак безпеки не є проблемою. Хто вони?

Щеня - це іграшковий дистрибутив для любителів. Це єдиний сценарій, коли модель безпеки Щеня (відсутність) має сенс.

Агентства, які вивчають інформаційну безпеку, публікують стратегії пом'якшення наслідків, засновані на статистиці вторгнень, яку вони бачать. Ось список австралійського уряду:

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

Вони підрахували, що дотримання 4 найкращих стратегій зупинить 85% вторгнень. Це:

1. Патч-програми, наприклад, програма перегляду PDF, Flash Player, Microsoft Office та Java. Виправити або пом’якшити протягом двох днів для вразливості з високим ризиком. Використовуйте останню версію програм.

2. Патчі вразливості операційної системи. Виправити або пом’якшити протягом двох днів для вразливості з високим ризиком. Використовуйте останню версію операційної системи.

3. Мінімізуйте кількість користувачів із доменними або локальними адміністративними правами. Такі користувачі повинні використовувати окремий непривілейований обліковий запис для перегляду електронної пошти та веб-перегляду.

4. Білі списки програм для запобігання запуску зловмисного програмного забезпечення та інших неприйнятих програм, наприклад, за допомогою Політики обмеження програмного забезпечення Microsoft або AppLocker.

Щеня провалюється за всіма цими підрахунками. Серйозні дистрибутиви, такі як Fedora, OpenSUSE, Debian тощо, набагато безпечніші. Всі ці дистрибутиви мають активні списки розсилки безпеки, які забезпечують своєчасні виправлення безпеки, пропонують список додатків через AppArmor та / або SELinux, і, звичайно, не запускають все як root (чесно, wtf?).

Якщо ви цінуєте свою безпеку, не використовуйте Щеня для нічого серйозного.

Більше 30 років програмування на десятках мов від збирання до адміністрування баз даних Oracle , і я не знайшов нічого більш безпечного та надійного, ніж Puppy Linux .

Як і всі системи Unix / Linux, безпека Puppy Linux - це зовсім інший світ, ніж той, з яким найбільше знайомий Microsoft. Презирство, виражене в інших відповідях, цілком зрозуміле, хоча з точки зору Microsoft, але випливає з нерозуміння того, що існують інші підходи до безпеки.

Загалом, Microsoft Windows O / Ss передбачає повний доступ до всього, якщо прямо не відмовлено. Unix / Linux не передбачає доступу до нічого, якщо прямо не надано. Це дуже довго запобігає несанкціонованому доступу.

Користувачеві * nix rootнадається повний доступ до більшості всього, хоча навіть rootзвичайно заважає виконувати такі дії, як виконання файлу, на якому не встановлено прапор дозволу на виконання, та підключення до іншого хоста через SSH без пароля чи попередньо домовленого обміну ключами.

На відміну від "рідного" Linux, Puppy Linux був оптимізований для середовища для одного користувача . Однокористувач root, має повний контроль над цією машиною і, таким чином, має можливість краще захистити її від зловмисників. Якщо вам потрібно прийняти декілька користувачів, спробуйте один з багатьох інших прекрасних дистрибутивів Linux.

Використання Puppy Linux файлових систем unionfs / aufs для зберігання файлів зберігає всі файли, крім нещодавно змінених, лише на шарах, доступних для читання. Це забезпечує можливість "скасувати", що дозволяє легше відновити всю систему до відомого хорошого стану. В крайньому випадку оригінальна розподілена система зберігається на нижньому шарі, доступному лише для читання, де її можна перезавантажити, зберігаючи наступні зміни на верхніх шарах.

Хоча рідко обговорюється, часте виправлення програмного забезпечення є мечем з декількома ребрами. Нові версії завжди повинні вміщувати поточне обладнання, яке часто створює проблеми при взаємодії зі старшим програмним та апаратним забезпеченням. Ось чому, якщо ви хочете будь -що оновлювати, вам доведеться все оновлювати.

Патчінг може бути єдиною життєздатною обороною в середовищі Microsoft, але кожен Linux оснащений великим набором інструментів, щоб захистити системи під час роботи на апаратному забезпеченні, яке не є останнім і найкращим.

Щеня Linux в основному використовується програмістами, системними адміністраторами та аналітиками для їх щоденних обчислювальних потреб, роблячи такі речі, як ...

• Доступ до Інтернету до десятків веб-сайтів одночасно з декількох машин / користувачів.
• Розробка програмного забезпечення майже будь-якою мовою, що коли-небудь була придумана.
• Експериментуйте з нескінченними перестановками та комбінаціями конфігурацій програмного забезпечення.
• ... і навіть перевіряти електронну пошту та соціальні мережі, відповідаючи на запитання тут.

Стандартна, «серйозна» парадигма Linux може дати помилкове відчуття безпеки, а також часом неприємно спричиняє відмову в доступі (чий комп'ютер?). Тому стає необхідним запуск багатьох додатків як "root", навіть під час з'єднання з www. Між іншим, я використовував "живого" Щеня, щоб розірвати установку на базі Debian, яку я навмисно зробив "надмірно захищеною". Я також зробив те ж саме з KolibriOS ("Hummingbird OS"), який написано на ~ 100% ASM, і не визнає передбачувані "захисні сили". Наприклад, на зовнішньому носії пам’яті, відформатованому на ext4, папка «втрачено та знайдено» блокується для більшості Linuxen, але не для Щеня.

У будь-якому випадку (AFAIK), найбільш вразливий потенційний вектор атаки / зараження, веб-браузер, як правило, не працює як "root". Для безпеки є режим приватного перегляду, https, і, звичайно, брандмауери та брандмауери веб-браузера (зверху), щоб не забувати могутній очищувач BleachBit.

Щодо браку оновлень, на мій досвід, ТПВ постійно оновлюється / виправляється, але, мабуть, найменш захищена система з усіх; ролінг-реліз Linuxen, з їх постійним виправленням, перерва приблизно протягом тижня або близько того; LTS Linuxen з відносно невеликими оновленнями, "просто працюйте"; тому відносна відсутність оновлень у Щеня (залежно від версії) може бути помилковою проблемою, яка серйозно турбує мене, поки я не дізнався трохи більше.

Важливою особливістю захисту Щеня є те, що (у "скромній" установці, яка є бажаною / рекомендованою) кожен сеанс можна зберегти чи не, або в стандартний або унікальний файл, тому можна запустити сеанси "замовити" для конкретних цілі, що вимагають виходу / входу, щоб повернутися до 'звичайного' використання. Також можуть бути додані обмежені облікові записи користувачів для певних цілей. Зважаючи на те, що бережлива установка - це фактично «жива» система, Щеня може насправді бути більш безпечним, ніж «звичайний» Linuxen, якщо його правильно використовувати.

Список літератури:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Нарешті, ніколи не приєднуйтесь до форуму, який вимагає реєстрації, завжди використовуйте електронну адресу "привид".

Як уже було сказано, Щеня використовує іншу модель безпеки (або іншу парадигму, якщо вам більше подобається) і її необхідно оцінювати експериментально, в реальному світі. Мій досвід можна підсумувати так:

• Debian: взламаний, із додатками телефонував додому.
• Slackware: зламаний.
• Арка: ніколи не залишалася стабільною досить довго, щоб її зламати.
• Windows XP: я видаляю драйвер Ethernet після того, як він реєструється в Microsoft. 'Нафф сказав.
• OpenBSD: зламаний. Так, я знаю.
• DragonFlyBSD: ніколи не проникав, якщо він взагалі працює.
• FreeBSD: Поки так добре. Використання ПФ. Використовується менше 8 місяців.
• Щеня: за 6 років ніколи не зламали. Ніколи . Це все ще мій головний дистрибутив, коли мені потрібна простота і надійність.

Щоб ще раз зазначити: Щеня використовує іншу модель, яку багато хто вважає цілком прихильною. Порівнюючи це з традиційними Unix, Windows або ______, порівнюється яблука з апельсинами.

Я працював лише в Linux з 2000 року і ніколи не мав зовнішнього вірусу. Я заразився один раз під час використання старого жорсткого диска Windows для переміщення деяких файлів. Я побіг Кламткла, щоб все почистити.

Я працюю на Puppylinux вже кілька років. У мене досі немає проблем з вірусами. Люди з Windows чухають голову на кшталт "Як це можливо?"

Для мене це як водій автомобіля, запитуючи байкера: "Як можна їхати лише з двома колесами?"

Щеня використовує dbus лише для управління сеансом. Тож нічого не поширюється так, як робить Active-x.

Я використовую клієнт електронної пошти Sylpheed, який є лише простим текстом.

Я використовую старішу Opera з більшістю речей. Я вмикаю JS просто для публікації, як я зараз роблю.

Оскільки я завантажуюся з компакт-диска, це щоразу по-новому. На моїх жорстких дисках немає операційних систем.

Коли я завантажуюсь, я можу htop і нарахувати близько 15 процесів. І я їх усіх знаю. Як корінь, у мене нічого не приховується від очей.

Я займався технічною підтримкою комерційного веб-сайту протягом декількох років, тому я не є типовим користувачем комп’ютерів.

Windows намагається обмежити параметри завантаження, шифрує жорсткі диски, шифрує або хеш-програми, завжди застосовуючи патчі безпеки ПІСЛЯ зараження. І все ж вони продовжують використовувати Active-x та еквівалентні механізми для поширення своїх мікробів навколо.

Люди хочуть натиснути на веб-посилання, що відкриває електронну таблицю та все таке. І люди наполягають на збереженні паролів у своїх браузерах, оскільки це зручніше.

Багато користувачів Windows мають неймовірно складні логотипи, і вони не можуть зрозуміти, чому вони все ще отримують віруси. Це тому, що решта машини - широко відкриті двері.

Це як у споживачів наркотиків, які мають "чисті" голки, якими вони діляться зі своїми приятелями.

Я сподіваюся, що це може усунути деякі непорозуміння щодо безпеки та "цуценяного шляху".

Я думав про одну ситуацію, в якій щось на зразок Puppy Linux було б досить безпечним (або так я вважаю - я вітаю коментарі.) Якщо ви запускаєте його з живого компакт-диска в системі без встановлених пристроїв зберігання даних (це означає, що немає жорсткого диска в системі або, принаймні, не той, який ви коли-небудь використовуєте), то навіть якщо ви відвідуєте веб-сайт, який експлуатує якусь дірку в незапущеному браузері, наступного разу при перезавантаженні вашої системи буде чисто. * Звичайно, між часом коли ви відвідали такий веб-сайт і перезавантажуєтесь, може виникнути якийсь кейлоггер, що вловлює будь-які введені вами паролі, тому вам доведеться бути обережними, можливо, лише відвідуючи веб-сайти, що розміщують закладки, якщо ви не планували нікуди входити. Ви можете зберігати файли на USB-накопичувачі,

* Я читав про віруси (хоча, на щастя, вони повинні бути рідкісними), які можуть заразити ваш BIOS або інший фрагмент мікропрограмного забезпечення, і якщо це сталося, перезавантаження не допоможе.

sml запитав: "Також ви можете надати посилання на міліцію, яка рекомендує Щеня?"

Можливо, це допоможе: інспектор-детектив Брюс ван дер Грааф з відділу розслідування комп’ютерних злочинів поліції Нового Південного Уельсу, коли він давав свідчення від імені уряду Нового Південного Уельсу під час публічних слухань щодо кіберзлочинності, спеціально рекомендував Щеня Linux як один принципових методів безпечного ведення комерційних операцій в Інтернеті, таких як он-лайн-банкінг.

Докладніше див: http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

І, до речі, ніхто з тих, хто бере участь у створенні Puppy Linux, не розглядає це як "іграшковий дистрибутив".

Я ніколи не чув, щоб Puppy Linux був підданий компрометації за 6 років використання в якості ощадливої ​​установки. Я вважаю, це тому, що Щеня працює з вимкненою більшістю сервісів (спробуйте скористатися веб-сайтом безпеки, таким як Shields Up. Я провів обширне тестування безпеки в рамках своєї роботи в якості Linux Educator і виявив, що Щеня є більш безпечним, ніж Ubuntu навіть в корені через вищезазначені сервісні причини. Звичайно, якщо ви запускаєте цуценя в якості ремастера, оскільки живий компакт-диск із браузером додав його дуже безпечно (без жорсткого диска, встановленого в Інтернеті). Це метод, як рекомендує поліція сили у всьому світі для цілком захищеної системи.