Когда делает Щенка, модель обеспечения безопасности Linux имеет смысл?

Щенок является игрушечным дистрибутивом для людей, увлеченных своим хобби. Это - единственный сценарий, где Щенок (отсутствие) модель обеспечения безопасности имеет смысл.

Агентства, которые изучают информационную безопасность, публикуют стратегии смягчения на основе статистики проникновений, которые они видят. Вот список австралийского правительства:

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

Они оценивают, что следование лучшим 4 стратегиям остановило бы 85% проникновений. Это:

1. Приложения патча, например, средство просмотра PDF, Flash player, Microsoft Office и Java. Исправьте или смягчите в течение двух дней для уязвимостей высокого риска. Используйте последнюю версию приложений.

2. Исправьте уязвимости операционной системы. Исправьте или смягчите в течение двух дней для уязвимостей высокого риска. Используйте последнюю версию операционной системы.

3. Минимизируйте число пользователей с доменными или локальными административными привилегиями. Такие пользователи должны использовать отдельный непривилегированный счет на электронную почту и просмотр веб-страниц.

4. Белый список приложения, чтобы помочь препятствовать тому, чтобы вредоносное программное обеспечение и другие неутвержденные программы работали, например, при помощи политик Ограничения программного обеспечения Microsoft или AppLocker.

Щенок перестал работать на всех этих количествах. Серьезные дистрибутивы, такие как Fedora, OpenSUSE, Debian и т.д. намного более безопасны. Эти дистрибутивы у всех есть активные списки рассылки безопасности, которые обеспечивают своевременные патчи безопасности, предложите белый список Приложения через AppArmor и/или SELinux и конечно, не выполняйте все как корень (честно, wtf?).

При оценке безопасности не используйте Щенка ни для чего серьезного.

Я действительно думал об одной ситуации, в которой что-то как Щенок Linux будет довольно безопасен (или таким образом, я буду думать - я приветствую комментарии.) При выполнении его с Живого CD в системе без монтируемых устройств хранения (что не означает жесткого диска в системе или по крайней мере не того, который Вы когда-либо используете), затем даже при посещении веб-сайта, который использует некоторую дыру в неисправленном браузере, в следующий раз, Вы перезагружаете свою систему, будет чистым.* Конечно, между временем при посещении такого веб-сайта и перезагрузки мог быть некоторый клавиатурный перехватчик, ловя любые пароли, которые Вы вводите, таким образом, необходимо было бы быть осторожными, возможно, только посетив отмеченные веб-сайты, если Вы не планировали войти в систему где угодно. Вы могли сохранить файлы на карте флэш-памяти с интерфейсом USB, хотя снова необходимо будет быть осторожными, о каком просмотре веб-страниц Вы сделали, в то время как он был соединен (или прежде чем он был соединен).

*Я читал о вирусах (хотя к счастью они, как предполагается, редки), который может заразить Ваш BIOS или некоторую другую часть встроенного микропрограммного обеспечения, и если бы это произошло затем, то перезагрузка не помогла бы.

Я никогда не слышал о Щенке Linux, поставленный под угрозу за 6 лет использования в качестве скромной установки. Я полагаю, что это вызвано тем, что выполнения Щенка с большей частью сервиса выключили (попытайтесь использовать сайт безопасности в Интернете, такой как Щиты. Я сделал обширную безопасность, тестирующую как часть моей работы как Педагог Linux, и нашел, что Щенок более безопасен, чем Ubuntu даже в корне из-за вышеупомянутых сервисных причин. Конечно, при выполнении щенка как обновления как живой CD с браузером, добавленным, ее очень безопасным, (без жесткого диска, смонтированного, в то время как в сети).This, является метод, как рекомендовала полиция во всем мире для полностью защищенной системы.

Более чем 30 лет, программируя на десятках языков от блока до администрирования баз данных Oracle, и я ничто не нашел более безопасным и надежным, чем Щенок Linux.

Как все системы Unix/Linux, Щенок безопасность Linux является совсем другим миром, чем Microsoft один, большинство знакомо с. Осуждение, выраженное в других ответах, абсолютно понятно, хотя с точки зрения Microsoft, но происходит от отсутствия понимания что там другие подходы к безопасности.

В целом Microsoft Windows O/Ss принимает полный доступ ко всему, если явно не отклонено. Unix/Linux не принимает доступа ни к чему, если явно не предоставлено. Это имеет большое значение в предотвращении несанкционированного доступа.

*отклоняют root пользователь является предоставленным полным доступом к большинству все, хотя даже root обычно препятствуется делать вещи как выполнение файла, который не имеет выполнить набора флага разрешения и соединяющийся с другим хостом через SSH без пароля или заранее спланированного совместного использования ключа.

В отличие от "собственного" Linux, Щенок Linux был оптимизирован для однопользовательской среды. Однопользовательское, root, имеет полный контроль над той машиной и таким образом имеет способность лучше защитить его от злоумышленников. Если необходимо разместить многочисленных пользователей, попробуйте один из многих других прекрасных дистрибутивов Linux.

Использование Linux щенка unionfs/aufs, складывающего файловые системы, сохраняет все но недавно измененные файлы на слоях только для чтения. Это обеспечивает возможность "отмены", которая позволяет более легкое восстановление всей системы к известному хорошему состоянию. Как последнее прибежище исходная система, как распределено сохранена в нижней части слоем только для чтения, где это может быть перезагружено к при сохранении последующих изменений на верхних уровнях.

Хотя редко обсуждено, частое исправление программного обеспечения является мультиобрамленным мечом. Новые версии должны всегда размещать текущие аппаратные средства, которые часто создают незначительные сбои во взаимодействии с более старым программным и аппаратным обеспечением. Вот почему, если Вы хотите усовершенствовать что-нибудь, необходимо сохранить все актуальным.

Исправление может быть единственной жизнеспособной защитой в средах Microsoft, но каждый Linux идет с большой панелью инструментов методов для хранения систем безопасными при работе аппаратных средств, это не является последним и самым большим.

Щенок Linux главным образом используется программистами, системными администраторами и аналитиками для их ежедневных вычислительных потребностей, делающих вещи как...

• Доступ в Интернет десятков веб-сайтов одновременно от нескольких машин/пользователей.
• Программное обеспечение Developing почти на любом языке когда-либо изобретено.
• Экспериментирование с бесконечными перестановками и комбинациями конфигураций программного обеспечения.
• ... и даже проверяя электронную почту и социальные сети при ответе на вопросы здесь.

sml спрашивают: "Кроме того, можно ли предоставить ссылку на полицию, которая рекомендует Щенка?"

Возможно, это поможет: инспектор уголовной полиции Bruce van der Graaf от Единицы Расследования Компьютерного преступления полиции Нового Южного Уэльса, при даче показаний от имени правительства Нового Южного Уэльса на публичном разбирательстве в киберпреступность, конкретно рекомендуемый Щенок Linux как один из принципиальных методов безопасного проведения коммерческих транзакций в Интернете, таких как онлайн - банкинг.

Для получения дополнительной информации см.: http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

И несущественно, ни один из вовлеченных в создание Щенка Linux рассматривают его как "игрушечный дистрибутив".

Стандартная, "серьезная" парадигма Linux может дать ложное ощущение безопасности, а иногда и весьма разочаровывающее, с его отказом в доступе (чей компьютер?). Следовательно, становится необходимым запускать много приложений от имени "root", даже будучи подключённым к www. Кстати, я использовал "живого" щенка, чтобы разорвать установку на основе Debian, которую я специально сделал "сверх-безопасной". Я также сделал то же самое с KolibriOS ('Hummingbird OS'), которая написана на ~100% ASM, и не распознаёт предполагаемые 'защиты'. Например, на внешнем носителе, отформатированном в ext4, папка 'lost & found' заблокирована для большинства Linuxen, но не для Puppy.

В любом случае (AFAIK) наиболее уязвимый потенциальный вектор/приложение атаки/заражения, web-браузер, обычно не запускается как 'root'. Для безопасности существуют частный режим браузера, https и, конечно же, брандмауэры, а также брандмауэры web-браузеров (сверху), не забывайте о мощном очистителе BleachBit.

Что касается отсутствия обновлений, то, по моему опыту, MSW постоянно обновляется/отправляется, но, очевидно, является наименее безопасной системой из всех; rolling-релиз Linuxen, с их постоянным патчем, перерыв в течение примерно недели или около того; LTS Linuxen с относительно небольшим количеством обновлений, "просто работа"; так что относительное отсутствие обновлений в Puppy (в зависимости от версии) может быть ложной областью озабоченности, которая серьезно беспокоила меня , пока я не узнал немного больше.

Важной функцией безопасности для щенка является то, что (в "экономной" установке, которая является предпочтительной/рекомендуемой) каждый сеанс может быть сохранен или нет, в стандартный или уникальный файл, так что можно запускать сеансы "под заказ" для определенных целей, требуя выхода/входа, чтобы вернуться к "нормальному" использованию. Ограниченные учетные записи пользователей также могут быть добавлены для определенных целей. Учитывая, что экономная установка, по сути, является "живой" системой, щенок может быть более безопасен, чем "обычный" Linuxen, если используется правильно.

Ссылки:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Наконец, никогда не присоединяйтесь к форуму, требующему регистрации, всегда используйте "призрачный" адрес электронной почты.

#!/bin/bash

copy_file_and_dependencies() {
    PROGRAM="$1"
    DEPENDENCIES="$(ldd "$PROGRAM" | awk '{ print $3 }' | grep -v '(' | grep -v 'not a dynamic executable')"

    mkdir -p "${JAIL}$(dirname $PROGRAM)"
    cp -Lv "$PROGRAM" "${JAIL}${PROGRAM}"

    for f in $DEPENDENCIES; do
        mkdir -p "${JAIL}$(dirname $f)"
        cp -Lv "$f" "${JAIL}${f}"
    done
}

export -f copy_file_and_dependencies

copy_file_and_dependencies /etc/ld.so.cache
copy_file_and_dependencies /bin/sh
# ...

Как уже говорилось, Puppy использует другую модель безопасности (или другую парадигму, если вы предпочитаете) и должна оцениваться эмпирически, в реальном мире. Мой опыт можно резюмировать следующим образом:

• Debian: взломан, приложения звонят домой.
• Slackware: взломано.
• Арка: никогда не оставалась стабильной достаточно долго, чтобы быть взломанной.
• Windows XP: Удаление драйвера Ethernet после его регистрации в Microsoft. - сказал Нуфф.
• OpenBSD: взломано. Я знаю.
• DragonFlyBSD: никогда не проникал, если работает вообще.
• FreeBSD: Пока так хорошо. Использование PF. Используется менее 8 месяцев.
• Щенок: за 6 лет ни разу не взломали. Никогда . Это все еще мое главное направление, когда я нуждаюсь в простоте и надежности.

Повторить: Щенок использует другую модель, то, что, по мнению многих, по своей сути является безопасным. Сравнивая его с традиционным Unix, Windows или ______ сравнивает яблоки с апельсинами.

Я занимаюсь только Линуксом с 2000 года и у меня никогда не было вируса извне. Однажды я заразил себя, используя старый жесткий диск windows для перемещения файлов. Я запустил Clamtkl, чтобы все убрать.

Я был на Puppylinux уже несколько лет. У меня до сих пор нет проблем с вирусами. Люди из Windows чешут головы, как будто "Как такое возможно?"

Для меня это как будто водитель машины спрашивает байкера: "Как ты можешь ездить только на двух колесах?"

Щенок использует dbus только для сеансового управления. Так что ничто не распространяется так, как Active-x.

Я использую почтовый клиент Sylpheed, который является только обычным текстом.

Я использую старую Оперу, в которой большинство вещей отключены. Я включаю JS только для того, чтобы писать, как сейчас.

С тех пор, как я загружаюсь с CD, каждый раз все начинается заново. На моих жестких дисках нет операционных систем.

Когда я загружаюсь, Я умею работать на пределе и насчитать около 15 процессов. И я знаю их все. Как корень, от моих глаз ничего не скрыто.

Я занимался коммерческой поддержкой сайтов несколько лет, так что я не типичный пользователь компьютера.

Windows пытается ограничить возможности загрузки, шифрует жесткие диски, шифрует или хэширует программы, всегда применяя заплаты безопасности ПОСЛЕ заражения. И все же они продолжают использовать Active-x и эквивалентные механизмы для распространения своих микробов.

Люди хотят перейти по веб-ссылке, которая открывает электронную таблицу и все такое. И люди настаивают на сохранении паролей в своих браузерах, потому что это более удобно.

Многие пользователи windows имеют невероятно сложные логины и не могут понять, почему они до сих пор получают вирусы. Это потому, что остальная часть машины - это широко открытая дверь.

Это как у наркоманов, у которых есть "чистые" иглы, которыми они делятся со своими приятелями.

Надеюсь, это прояснит некоторые недоразумения по поводу безопасности и "щенячьего пути".