LINUX.ORG.RU

ОС AnikOS - очередная попытка формирования концепций защищенного дистрибутива Linux

 anikos, , , ,


0

1

Вышла первая предварительная версия дистрибутива «AnikOS», создаваемого с целью попытки разработки и реализации основных концепций защиты информации на уровне ОС на рабочих станциях и серверах.

Дистрибутив основан на разработках проекта Hardened Gentoo, а также включает в себя ряд дополнительных технологических решений, реализующих механизмы защиты информации на уровне операционной среды.

Краткие сведения об особенностях дистрибутива:

  • Ядро: Linux Kernel 2.6.38.6 с наборами патчей GRsecurity и PAX;
  • Графическая подсистема: Xorg Server 1.10.1, LibDRM 2.4.25+, Mesa 7.10.2+;
  • Рабочее окружение: XFce 4.8, Thunar File Manager 1.2.1+ Slim DM;
  • Возможность установки и запуска Windows-приложений посредством Wine 1.3.20;
  • Офисные приложения: LibreOffice 3.3.2.2, Gedit 2.30.4;
  • С целью проверки работоспособности Wine с SSP предустановлено произвольное Windows-приложение Notepad++;
  • Вэб-браузеры: Google Chromium 12.0.742 и Mozilla Firefox 4.0.1;
  • Почтовый клиент Mozilla Thunderbird 3.1.10;
  • Работа с VoIP посредством Ekiga 3.2.7;
  • Клиент P2P Transmission 2.31;
  • Синхронизация данных и резервное копирование посредством DejaDup и Grsync;
  • Графический интерфейс управления персональным межсетевым экраном (iptables) посредством Firewall Builder 4.2;
  • Возможность использования шифрованных контейнеров для хранения конфиденциальной информации посредством TrueCrypt 7.0a;
  • Возможность аутентификации с использованием внешних USB-устройств посредством модуля PAM_USB;
  • Glibc 2.13;
  • GCC Hardened 4.4.5 (p1.2, pie-0.4.5).

В настоящее время реализована поддержка только x86_64 архитектуры. Минимально необходимый для функционирования дистрибутива процессор - Pentium 4(Prescott)/Celeron D.

Предварительная версия выполнена в виде LiveCD с возможностью установки на жесткий диск.

Скачать предварительную версию возможно на сайте проекта: https://sourceforge.net/projects/anikos/

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: Klymedy (всего исправлений: 5)

apparmor

Как там с профилями для apparmor дела обстоят?
Есть ли годные профили для Flash, и прочего дырявого софта?

anonymous
()

о безопасности

Если вы хотите сделать безопасный дистрибутив Линукс, сделайте пожалуйста, чтобы абсолютно каждое приложение, будь то firefox, eikiga, xterm и тд, запускалось в своем собственном VirtualBox. Немцы говорят что это как раз и является последним словом в защите

anonymous
()
Ответ на: о безопасности от anonymous

..

> Если вы хотите сделать безопасный дистрибутив Линукс, сделайте пожалуйста, чтобы абсолютно каждое приложение, будь то firefox, eikiga, xterm и тд, запускалось в своем собственном VirtualBox. Немцы говорят что это как раз и является последним словом в защите

Из наиболее удачных на сегодняшний момент подобных решений могу выделить только Qubes производства Джоанны Рудковской)

Что катается немцев - очередная мертвая технология.. да и решение на мой взгляд неудачное, так как вопрос изолирования с использованием механизмов виртуализации изучал довольно подробно несколько лет назад..

novic_dev
() автор топика
Ответ на: комментарий от Oreolek

..

> А зачем там два браузера? Больше программ — больше дырок.

Текущий набор ПО в составе дистрибутива ни о чем пока не говорит, текущая версия дистрибутива является так называемым майлстоуном, т.е. на текущий момент определяются основные направления его развития и доработки, а также состав ПО...

novic_dev
() автор топика
Ответ на: комментарий от crutch

..

> А оверлей для генты не был бы проще/полезнее?

Сейчас основной упор в части реализации механизмов ИБ делается исходя из концепции Hardened Gentoo, т.е. обеспечивается в том числе связкой kernel + glibc + gcc и закладывается на уровне каждого приложения (PIE) при его сборке из исходных кодов.. ядро же предоставляет API для работы с механизмами ядра из юзерспэйса через LSM...

novic_dev
() автор топика
Ответ на: .. от novic_dev

А зачем вам фреймворк LSM? Его недостатки в плане ИБ известны, а достоинства? Вы собираетесь писать свои LSM?

anonymous
()
Ответ на: .. от novic_dev

> т.е. на текущий момент определяются основные направления его развития и доработки, а также состав ПО...

И именно по этому в milestone версию добавили самое дырявое и глючное ПО? Или цель дистрибутива быть презервативом между дырками в ПО и членами атакующих?

И я всегда думал, что когда строят дистрибутив, особенно poс, то первым делом заботятся о базовом системном софте, а уже потом довливают софт допиленный/пропатченый под poc. Ну вот зачем там аж два обозревателя? Или Вы утверждаете что в обоих нету ни одной дыры? Или Вы уже весь остальной более важный софт тщательно проверили, на дырявость что взялись за X-ы?

И вообще, лучше бы на настоящем двухколесном катались, а не виртуальные велосипеды пилили, пользы было бы больше.

FeyFre ★★★★
()
Ответ на: комментарий от FeyFre

> Или цель дистрибутива быть презервативом между дырками в ПО и членами атакующих?

Целью дистрибутива в том числе является возможность запуска на нём даже криво написанного в части ИБ софта, софта с НДВ, но существенного снижения актуальных в указанном случае угроз ИБ, например, утечки конфиденциальной информации либо несанкционированного привилегированного исполнения кода в результате переполнения буфера и реализации прочих уязвимостей... основное направление в дистре делается не только на упреждение реализаций угроз, а на их своевременный мониторинг и реагирование, что в части ИБ является немаловажным!...

novic_dev
() автор топика
Ответ на: комментарий от anonymous

..

> почему вы отвечаете маркетоидным буллщитом?

Потому, что это краткое обсуждение новости на ЛОРе, все технические подробности и детали решения будут приведены на ресурсе проекта.

novic_dev
() автор топика
Ответ на: комментарий от anonymous

..

> > почему вы отвечаете маркетоидным буллщитом?

Во-вторых: обсуждения в данный момент - это теория, не более.. так что я употребляю не более чем упрощённые определения и термины из матчасти начального курса информационной безопасности..

novic_dev
() автор топика

>>ОС AnikOS - очередная попытка формирования концепций защищенного дистрибутива Linux

Не надоть нам ваших попыток формирования концепций. Читайте законодательство РФ. Красивый фирменный сертификат - вот панацея от всех бед. А то ось -эникось, кей -эникей... Трансмиссия.. на сервере.. «для защиты»...Пацтулом.

anonymous
()
Ответ на: комментарий от novic_dev

Так может быть вы сначала всё это сделаете и потом уже выпустите milestone? А то так не понятно, чем оно лучше hardened, если всё пока только планируется.

Gary ★★★★★
()
Ответ на: комментарий от Gary

..

> Так может быть вы сначала всё это сделаете и потом уже выпустите milestone? А то так не понятно, чем оно лучше hardened, если всё пока только планируется.

Согласен. Но на текущем этапе хотелось бы выслушать здоровую и адекватную критику, а также пожелания по доработке..

В первом приближении предполагается реализация относительно простого в использовании Hardened-дистрибутива с бинарной системой установки софта и обновлений, который бы являлся платформой для функционирования доверенных и недоверенных приложений, а также возможно впоследствии занял свое место при использовании в защищенных автоматизированных системах в виде относительно защищённого общесистемного программного окружения (операционной среды), там, где функционирование потенциально-опасного программного обеспечения неизбежно..

novic_dev
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.