Дистрибутив для параноиков

Умеет шифровать весь раздел при установке системы.

Любой.

Имеет полноценную систему SELinux, которая позволяет удобно давать разрешения приложениям (как это сделано в Андроид).

Никакой, не считая андроидом. Только там SELinux несколько отдельно, разрешения приложениям несколько отдельно. Пиши, че, ждём в 2040 флатпак будущего.

Имеет качественный фаервол, который настроен не по портам, а по приложениям

По юзерам разве что? Настраивай

(поскольку на одном открытом порту могут работать много приложений, в том числе зловредные).

М?

1. Кроме как у Fedora ни у кого не видел при установке такой возможности. Ubuntu позволяет после установке зашифровать домашнюю папку и на этом все.

2. Какой смысл ограничивать юзерами, если я сам все программы и стартую?

3. Не пробовал одновременно открыть Mozilla Firefox и Chromium? Обе программы будут работать через 80- ый порт, причем друг другу никак не мешать.

Что ты несешь…

Какой смысл ограничивать юзерами, если я сам все программы и стартую?

В ведроиде каждое приложение работает от отдельного юзера

Мда, тяжелый случай.

1. У Ubuntu есть и нормальный установщик, да и debootstrap на вручную размеченное никто не отменял.

2. Чтобы «файрволу» было, как их различать. Как в Androidе сделано.

3. Пробовал, мешать друг другу не будут (потому что квинтуплеты соединений разные из-за разных в первую очередь source ports). Останось понять, что ты сказать-то хотел в том бреду выше.

Умеет шифровать весь раздел при установке системы.

Любой из тех, в которых есть поддержка dm-crypt/LUKS. Так, например, в Debian и Debian-based можно легко зашифровать / при установке через debootstrap.

удобно давать разрешения приложениям

Практически в любом дистрибутиве ОС семейства GNU/Linux:

1. Никто не отменял ACL, группы пользователей и права доступа.

2. Можно установить Bubblejail. Можно даже запускать portable-программы (AppImage и статические билды). Для AppImaage используется специальная команда bubblejail-appimage-run [instance_name] [AppImageFile].

Имеет качественный фаервол, который настроен не по портам, а по приложениям

Любой из тех, в репозиториях которого доступен iptables. Используй маркеры для iptables, с помощью которых можно ограничить программам доступ к сети.

на одном открытом порту могут работать много приложений, в том числе зловредные

Не пробовал одновременно открыть Mozilla Firefox и Chromium? Обе программы будут работать через 80- ый порт, причем друг другу никак не мешать

Похоже, что ты путаешь dport с sport.

ФСБ- шный кал (типа Астра Linux) не предлагать.

То ли дело АНБшный 😁

Похоже, что ты путаешь dport с sport.

Он их не путает, он их не знает.

вы не понимаете…

Не пробовал одновременно открыть Mozilla Firefox и Chromium? Обе программы будут работать через 80- ый порт, причем друг другу никак не мешать.

А апач, зараза такая, запускаться отказывается если два раза listen 80 в конфиге написать. Надо багу открыть, пусть у хромого в исходниках посмотрят как сделано.

То ли дело АНБшный 😁

Ну вообще-то это логично, нет? Допустим совсем без слежки никак. Тогда если выбирать между АНБ и ФСБ, выбор очевиден, если живёшь в РФ или странах СНГ. Если живёшь в США, то выбор точно очевиден, но противоположен.

Поясняю подробнее.

«Юзер» это не человек-пользователь компа, а учётная запись набора прав доступа для какой-то ситуации. И хотя обычно права доступа настраивают действительно для человека, но ты хочешь их настраивать для приложений, а это значит что у каждого приложения должен быть свой юзер. Иначе все эти ограничения имеют не особо много смысла.

Фраза «работают через порт» практически лишена смысла. Ты можешь сказать что кто-то слушает локальный порт (если это сервер), или кто-то подключается к удалённому адресу+порту (если это клиент, например браузер). Файрволл в линуксе только один (он в ядре) и он может фильтровать как по адресами с портами, и локальному и удалённому одновременно, и по юзерам.

спрошу здесь, что предпочтительнее для фильтрации системных вызовов, SELinux или firejail? что удобнее?

В ведроиде каждое приложение работает от отдельного юзера

хочется так сделать у себя на десктопном линуксе, реально? дистр — CRUX. что для этого нужно? вносить изменения в систему портов?

WHONIX конечно же оно кручее даже чем калилинукс !!111

SELinux придётся допиливать ручками, но это не всем подходит. А в принципе любой дистр.

И, да, специального ФСБ-шного дистра не существует. Как и ЦРУ-шного, АНБ-шного и прочих.

долго костылить будешь :) к примеру на каждый бинарь вешаешь uid gid соответствуюшего пользователя и включаешь setuid setgid биты. а потом начинается отладка и допиливание всплывающих косяков и обломов.
в андроиде это впилено в операционку еще во времена его создания.
впилено потому, что андроид предполагалось использовать как одноюзерную среду.
по мне так так жуткий костыль…

Как раз последняя астра 1.7 все это может сделать просто. Сразу из коробки.

Слышал звон, но не знаю, где он? Если ты хочешь порнушку без вирусов смотреть, то никакая безопасность тебе не поможет. А если ты серьёзно хочешь понять, что такое изоляция и суровое разграничение прав, смотри Qubes OS

1. Значит, не пробовал ставить ни один дистрибутив, кроме Федоры.

2. Какой смысл ограничивать что-либо, если за компом работаешь ты сам?

3. Ни chrome, ни firefox не работают через 80-ый порт. На 80-ом работает сервер, к которому обращаются браузеры.

фаервол, который настроен не по портам, а по приложениям

SELinux, правда это не так как на андроиде, а намного жёстче

Не пробовал одновременно открыть Mozilla Firefox и Chromium? Обе программы будут работать через 80- ый порт, причем друг другу никак не мешать.

Эта фраза сделала мой день

спрошу здесь, что предпочтительнее для фильтрации системных вызовов, SELinux или firejail?

Зависит от целей и предпочтений.

что удобнее?

Тут без вопросов firejail

Qubes OS попробуй. Там правда изоляция не через SELinux, а через кучу виртуалок Xen: https://habr.com/ru/post/679240/

к примеру на каждый бинарь вешаешь uid gid соответствуюшего пользователя и включаешь setuid setgid биты

Очень плохой совет. Того что он хочет таким образом никак не добиться, а вот куча проблем и правда гарантирована.

1) нужен лаунчер, который сначала переключает юзера а затем уже запускает целевое приложение; скорее всего лаунчер придётся делать setuid-root, а внутри алгоритм который определяет что дальше делать; есть вариант с setuid на юзера приложения и более простой алгоритм + следить чтоб доступа на его запуск не было ни у кого кроме главного юзера, но там скорее всего не хватит гибкости

2) нужно пробросить юзерам приложений права на нужные файлы; тут сложнее, и всё индивидуально в зависимости от того что тебе нужно; например, если хочешь чтоб браузер мог скачивать файлы в ~/Загрузки (и удалять их оттуда) то надо создать группу например с названием downloads_write_access, поставить её этой директории, сделать chmod g+w, и выдавать эту группу браузеру в его лаунчере (если нужна всего одна то можно setgid, если несколько то setgroups).

Безопасность это не дистрибутив, безопасность это <бесконечный> процесс.

Кроме как федора сильверблю или киноит не приходит в голову, да и вообще вся федора имеет качественный селинукс, но сильверблю и киноит больше под неё заточены. Киноит немного недоделанный, лучше сильверблю

1. любой

2. это отдельная штука, изначально предназначавшаяся для многопользовательского режима, т.е. когда компом пользуется много людей

3. ты сам это настраиваешь

Не тупи, не бывает безопасности на халяву, ты должен сам постепенно выстраивать свою систему, если хочешь защищенности. Учись, исследуй мир и постепенно обрастай броней.

Или изучить SELinux, расставить метки директориям,файлам и портам, да написать для каждого приложения правила.

Или изучить SELinux, расставить метки директориям,файлам и портам, да написать для каждого приложения правила.

И потом это монетизировать, например платные обучающие курсы продавать.

Кроме как у Fedora ни у кого не видел при установке такой возможности. Ubuntu позволяет после установке зашифровать домашнюю папку и на этом все.

В Ubuntu шифруется весь диск без проблем, и в процессе установки и после. В процессе установки это делается вообще одним кликом мышки, ну выбранный тобой пароль еще понятное дело надо ввести два раза.

parrot os

MS-DOS

1. любой вирус шифрует раздел при установке
2. одно приложение, один фюрер
3. за отсутствием сети, фрайервалл на одно приложение изкоропки

OpenBSD

1. Шифровать умеет

2. pledge и unevil из коробки для всей системы и какой-то части портов (хром и фаерфокс точно огорожены)

3. можешь настроить pf как хочешь

4. плюс из коробки система по умолчанию огорожена как только можно, всякие рандомизаторы всего и прочее

У последнего хоть исходники открыты и можно посмотреть что там не прибегая к дизассемблеру и часами ковыряния ассемблера.

Кто может осознанно смотреть исходники не задаёт такие вопросы на форумах.

Для того, кто не в состоянии этого сделать уже все равно кто эти исходники за него смотрит: разработчики на зарплате или за донаты.

И, да, специального ФСБ-шного дистра не существует. Как и ЦРУ-шного, АНБ-шного и прочих.

Таки и за Моссад готовы такое рассказать :) ?

Можно обойтись без suid, хватит только sgid. И написать в iptables исходящие правила с учетом групп а не юзеров

Вы так говорите, как будто бы у пользователя только одной устройство, куда дистрибутив можно устанавливать. То есть, смартфон. Как правило на смартфонах установлен Android. Его и изучайте. Если бы Вы учитывали, что устройств много, вас бы волновали другие проблемы (например как запоминать большое количество паролей к разным ресурсам, или какими программами с ними управляться и как настраивать доступ в между разными операционными системами через Kerberos).

Таки и за Моссад готовы такое рассказать

Не знаю, меня там не стояло. Думаю, что как везде, заказывают у M$ и собирают свои из семейства GNUтых.

По юзерам разве что? Настраивай

По идее если поместить каждую софтину в отдельный контейнер, то можно фильтровать и по интерфейсам контейнеров?

Какой смысл ограничивать юзерами, если я сам все программы и стартую?

Потому что iptables не различает разные процессы? А только пользователей, под которыми эти процессы работают?

То ли дело АНБшный 😁

Хочешь сказать, что ядро в Астре нетакое ? ;)

Ну вообще-то это логично, нет? Допустим совсем без слежки никак. Тогда если выбирать между АНБ и ФСБ, выбор очевиден, если живёшь в РФ или странах СНГ. Если живёшь в США, то выбор точно очевиден, но противоположен.

А вдруг они только вид делают, что не сотрудничают ? :)

божы какая жырнота

где тот ЛОР на котором подобное сносят с пермобаном ТС? ну или ридонли на месяц.

Как раз последняя астра 1.7 все это может сделать просто. Сразу из коробки.

Community Edition может?

И, да, специального ФСБ-шного дистра не существует. Как и ЦРУ-шного, АНБ-шного и прочих.

Самая большая хитрость сатаны – убедить всех что его не существует!!!

Закладоны обязаны быть: было бы очень странно, если бы их не было

😁 Про сатану смешно.

Тем не менее.

Сами делают, под свои задачи. Или заказывают на стороне. А чтобы специального, нет, не существует.

Да понятно: я дляради пошутейки написал