Секьюрная система

Смотря от чего защищаться будем. Модель угрозы?

В качестве универсальной пилюли рекомендую книги Брюса Шнайера «Beyond Fear», «Secrets and Lies» и другие.

Бери Debian Stable. При установке выбирай установку на зашифрованный диск. Для ограничения доступа squid. Протокол Jabber умеет шифрование.

А вообще информации не достаточно. От кого защищаешься? От вирусов и троянов? Или от недобросовестных пользователей? От спецслужб?

У вас там сеть компьютеров и необходимо обеспечить её безопасность? Или один компьютер?

модель угрозы - malware и угон данных в публичных местах(данные счетов, кредиток, сессии, пароли). часто езжу по командировкам, поэтому приходится подсасываться к публичным хотспотам. я так понимаю, что лучше 3г/4г модем прикупить? физический доступ... только если на работе кто залезет, пока меня нет, но это вряд ли.

один комп. чистенький новый ноут.

Специальные приложения для фондовой торговли использоваться не будут, как я понимаю? Они вроде в основном для windows.

нет, ничего типа метатрейдера не будет. хватает веб-интерфейса пока для мелких телодвижений

Под ключ надо ?

не обязательно, скорее база и компоненты, которые нужно навесить. я склонялся либо к debian, либо к арчу. ну или вообще OpenBSD, но с ней никогда не работал, поэтому очень сомневаюсь. а дальше хотелось бы выпилить все ненужное и навесить все нужное.

А в итоге поставишь дефолтную убунту и тем обеспечишь все требования.

Почему бы не запускать разные по критичности приложения от разных юзеров, в разных Х-овых сессиях?

Судя по вопросам, вы, мягко говоря, не разбираетесь в теме. Решение под ключ интересует ? Не бесплатно, конечно.

я же написал, что ранее с безопасностью никак связан не был. ваял на джанге и был счастлив :)

...каждому по личному серверу и строить сеть доверительных отношений по ним...

виртуалка хранящая свой vhd на шифрованом томе + VPN через свои сервера.

по поводу софта нужного... браузер, мессенджер, табличный процессор(я так понимаю, что альтернативу Calc из OO тяжело найти), python.

модель угрозы - malware

Шифрованный диск, виртуалки/контейнеры. Скайп и прочую иксовую проприетарщину запускать в отдельных виртуалках. Все браузеры окопать noscript'ом, adblock'ами и т.д.

угон данных в публичных местах(данные счетов, кредиток, сессии, пароли).
приходится подсасываться к публичным хотспотам

И ещё установить в браузер https everywhere. Можно ещё vpn купить, но он на публичных хотспотах может не работать вообще.

Про шифрование диска уже сказали: LUKS, в дебиане (и, наверное, в убунтах) из коробки. В браузере отключить флеш, javascript (по возможности), поставить NoScript, RequestPolicy. По хардкору можно огородить браузер (и прочее) каким-нибудь SELinux или AppArmor. С помощью iptables закрыть все порты на вход и на выход, кроме 80 (http). Не работать под учёткой суперпользователя. Использовать длинные пароли. И самое главное — не подключать ноут к сети не выпускать ноутбук из виду или хотя бы не оставлять без присмотра включённым (блокировку экрана тоже можно обойти).

Ну и защищаться от man-in-the-middle тоже надо. Запишите отпечатки SSL-сертификатов посещаемых сайтов и сверяйте каждый раз при входе, не полагайтесь на то, что браузер показывает закрытый замочек.

думал об этом, кстати... вот мне только интересно, нельзя ли это как-то автоматизировать?

у фаерфокса есть плугин для этого — certificate patrol, но на всяких гуглях, твиттерах и прочем распределённом говне он заставляет лезть в свои настройки из-за того, что серты разные на разных узлах.

тогда любой дистрибутив + шифрование разделов + tor

Метатрейдер прекрасно работает под wine и не имеет ничего общего с фондовой торговлей вообще, кроме интерфейса внешне похожего на торговый терминал.

По сабжу: при установке выбери шифрование хомяка, настрой tor, поставь в брузер какую-нибудь резалку скриптов. Всё.

хватает веб-интерфейса

Кто этот брокер, у которого веб-терминал работает не в ie, да еще и с возможностью отключения скриптов (делаю вывод, что это возможно, т.к. все предлагают и никто не опровергает)? И зачем тогда шифровать системный раздел? Пусть конфиги и кеш браузера целиком находятся в tmpfs и уничтожаются при каждом выключении.