LINUX.ORG.RU

Вышла версия 2012.1 live-дистрибутива Liberté Linux

 , , ,


2

2

11-го мая обновился Liberté Linux — легковесный (≈210 MiB), устанавливаемый в виде директории live-дистрибутив для анонимных пользователей, основанный на Hardened Gentoo.

В версии 2012.1 значительно улучшена поддержка периферийных устройств и добавлена экспериментальная возможность загрузки на платформах (U)EFI. Кроме того:

  • По пожеланиям трудящихся анонимное общение (cables communication) теперь обладает свойствами perfect forward secrecy и repudiability (аналогично OTR).
  • Большая часть файловой системы доступна только в режиме чтения.
  • Образ SquashFS файловой системы верифицируется при загрузке.
  • Добавлен образ .ova (Open Virtualization) для импорта в качестве виртуальной машины.
  • Значительно улучшена поддержка сред виртуализации. Так, в VirtualBox поддерживаются буфер обмена, интеграция указателя мыши, изменение размера экрана и общие папки.
  • Браузер Midori заменен на Epiphany.

Начиная с этой версии, обновления ориентировочно будут публиковаться ежемесячно.

>>> Подробности



Проверено: tazhate ()
Последнее исправление: thelonelyisland (всего исправлений: 5)
Ответ на: комментарий от liberte

Panopticlick

Был ещё они сайт (он больше для веб-девелоперов предназначен), который вообще по каждой конкретной опции JS и заголовкам выдавал данные. А также там был флеш. Инфы там куда больше. Если найду - напишу.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от KillTheCat

Только нужно для каждой новой страницы использовать новую виртуалку и новый IP :) Поскольку трекинг - дело весьма популярное.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Иногда нужно ... На некоторых сайтах нужно ...

CubesOS тебе в помощь. Ее пилит компания самой Ж. Рутки^W Рутковской.

Macil ★★★★★
()
Ответ на: комментарий от Macil

Жанна делала её с целью создания системы, хак одного из компонентов которой даже теоретически не может обернуться жопой для всей системы. Она нисколько не связана с анонимизацией. Учите матчасть.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Странно что никто не пропатчил лису и не научил подменять ответы для жс.

Но выход есть. ЖС и флеш - ненужны, печеньки и хранилища - ненужны, сайты которые их просят - ненужны, как и интернет за пределами i2p.

PS: Почему нет новости о новой версии i2p с нескучными иконками.

KillTheCat ★★★★★
()
Ответ на: комментарий от Andrew

А ставить вручную UEFI-загрузчик это отдельная история.

Если я правильно понял спецификацию (UEFI Spec 2.3.1 Err. A, §12.3.1.3, §3.4.1.1), то использования путей /EFI/BOOT/BOOT{IA32,x64}.EFI для отсоединяемых накопителей должно быть достаточно (опять же, теоретически). Для CD все еще прозрачнее: там эти файлы должны находиться на специальном разделе El-Torito. Вы могли бы протестировать, грузится ли у Вас Liberté?

liberte
() автор топика
Ответ на: комментарий от KillTheCat

Для подмены хедера с user-agent есть плагины. А вот остальные менять как надо - это нужно переписывать полкода JS-движка.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от Andrew

все не так сложно. зырь статью: https://help.ubuntu.com/community/UEFIBooting фишка в том что если ты сидишь под биосом и установил пакет grub2 то в нем включен только режим bios. поэтому нужно собрать по этому мануалу grub2 с поддержкой efi-x86_64, создать раздел efi типа ef00 (не важно mbr или gpt) и установить туда grub2 с помощью автоматизированного скрипта grub-install. а дальше хозяин - барин. просто добавь по вкусу в /boot/efi/efi/grub.cfg параметры запуска системы или же воспользуйся скриптом grub-mkconfig

punya ★★
()
Ответ на: комментарий от ktulhu666

Для самых распространённых js-запросов тоже есть, а чем моделировать всё, проще написать/запустить другой браузер.

Uniqa
()
Ответ на: комментарий от ktulhu666

хак одного из компонентов которой даже теоретически не может обернуться жопой для всей системы. Она нисколько не связана с анонимизацией

Не ощущаю разницы. Кроме того, man-in-the-middle - распиаренное и реально не существующее пугало. А вот man-in-the-box с точностью до наоборот.

Например, в CubesOS можно давать определенные гарантии, что любой трафик виртуальной машины будет течь через Tor/I2P. А вот в сабже, таких гарантий нет вообще.

Macil ★★★★★
()
Ответ на: комментарий от ktulhu666

Это лишний раз подчёркивает, что разработчики Tor... Мягко говоря не на нашей стороне. Либо они не понимают того, чем несколько лет занимаются.

По-моему, всё очевидно: анонимизация монструозного проекта (вместо того, чтобы, к примеру, сказать: мы поддерживаем вот такие заголовки HTTP в вот таком порядке, вот такие команды Javascript, вот такое подмножество HTML5, и т.д.) — непаханное поле в плане R&D, можно публиковаться, выступать на конференциях, получать гранты, находить проблемы и чинить их, и многое другое. Кроме того, всем понятно и можно объяснить на пальцах. Придумать принципиально новую атаку на протокол Tor на порядок сложнее, непример.

liberte
() автор топика
Ответ на: комментарий от Kompilainenn

у UEFI свой менеджер загрузок, ему надо через линуксовый efibootmgr сообщить где находится EFI-загрузчик, как обозвать его... и другие параметры

Andrew ★★★
()
Ответ на: комментарий от Macil

Кроме того модерация на ЛОРе - распиаренное и реально не существующее пугало. А вот толстенные тролли, вещающие о нереальности MITM - с точностью до наоборот.

fixed

anonymous
()
Ответ на: комментарий от Macil


Например, в CubesOS можно давать определенные гарантии, что любой трафик виртуальной машины будет течь через Tor/I2P. А вот в сабже, таких гарантий нет вообще.

Заблокируй весь трафик от пользователя 1 через iptables, кроме как на 127.0.0.1 . Под юзером 2 поднимаешь tor-proxy. Если ты доверяешь линукс-ядру, то всё будет. Если ты совсем параноик, лучше использовать ту же схему с виртуалками (когда одна виртуалка использует другую, как маршрутизатор), только на реальных машинах (чтобы гарантировать отсутствие влияние чего либо). В случае нормального линукса (а всяких бубунт и прочего говна) вероятность утечек из машины в веду необходимости «анонимного» оповещения разработчиков о том, какое порно ты смотришь и какие страницы ты открываешь вероятность и так минимальна. Если через iptables запретить все, кроме юзера 2 (под которым только один процесс тора запущен и всё) ходить в инет, то почти нереально быть утечке.

Не ощущаю разницы. Кроме того, man-in-the-middle - распиаренное и реально не существующее пугало.

man-in-the-middle в Tor'e вообще везде. Почти на любом выходном шлюзе там стоит сниффер, а того гляди и ssl-proxy. Я уже молчу о всякой кровавой гэбне. Например, у нас без установки сниффера от ФСБ вообще провайдер не получит лицензии. В (анально)«свободной» США ещё лучше весь траффик посматривают. В GB тоже ничего.

А вот man-in-the-box с точностью до наоборот.

Повторюсь, что не следует юзать макоси, спермёрочки и прочие убунты. А также воздержаться от хромых и вяленых.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Был ещё они сайт (он больше для веб-девелоперов предназначен)

BrowserSpy.dk? На него есть линк на домашней странице по умолчанию в браузере в Liberté.

liberte
() автор топика
Ответ на: комментарий от anonymous

Кроме того вменяемая модерация на ЛОРе - распиаренное и реально не существующее пугало. А вот толстенные тролли, вещающие о нереальности макскома и прочих злоупотреблений власти - с точностью до наоборот.

fixed.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от Macil

CubesOS тебе в помощь. Ее пилит компания самой Ж. Рутки^W Рутковской.

Вот мой комментарий из личной переписки:

Qubes OS — довольно интересный подход к защите системы, основанный на виртуализации пользовательских и системных «ролей», если можно так выразиться. Вообще, на мой взгляд, такой подход — некая обусловленная практическими соображениями (постоянно обнаруживаемые уязвимости у существующих операционных систем) полумера, так как предполагает независимость одной «роли» от другой. Т.е. безопасность аналогична установке нескольких компьютеров для банкинга / деловой переписки / частной жизни в сеть, и перекидывания между ними файлов — это грубо говоря, там еще интеграция clipboard'а, виртуализация сетевой компоненты, и т.д. Проблема в том, что такие роли редко полностью независимы, и взлом одной роли с большой вероятностью даст возможность взлома другой, аналогично взлому одного из компьютеров в корпоративной сети, или локальной уязвимости. Или, другими словами, система предполагает то, что ползьователь не будет совершать ошибок и не смешает случайно роли. Но ошибки совершают все (в чем я убедился, когда расследовал ряд инцидентов с взломом сети), и усилия, на мой взгляд, лучше сконцентрировать на минимизации человеческого фактора — не давать процессам ненужных привилегий (MAC/RBAC), не пускать трафик через отркытый интернет (если необходима анонимность), и т.д. Но многим такая система будет, несомненно, полезна — если корректно ее использовать.

Еще может быть интересно обсуждение на форуме.

liberte
() автор топика
Ответ на: комментарий от KillTheCat

Странно что никто не пропатчил лису и не научил подменять ответы для жс.

В Tor Browser Bundle патчат то, что находят, но собственно особенности поведения Javascript в каждой версии браузера они вряд ли смогут изменить.

liberte
() автор топика
Ответ на: комментарий от liberte

Вот мой комментарий из личной переписки:

Ну запилите HardenedGentoo-SELinux-on-Xen-OS, утрите нос Рутковской.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от liberte

В Tor Browser Bundle патчат то, что находят, но собственно особенности поведения Javascript в каждой версии браузера они вряд ли смогут изменить.

При учёте возможности из JS прочесть инфу о браузере и платформе, и возможности передать в браузер обфусцированный/зашифрованный другим JS скрипт, и отослать обфусцированный/зашифрованный ответ, это меня мало утешает.

ktulhu666 ☆☆☆
()

Феерический баг с сохранением настроек починили? Это как же надо любить свой дистр, чтобы упорно не замечать такие коряги столько времени?!! Куча медвежьего говна на коврике перед входной дверью менее заметна. Нормальную установку на винт сделали? Кривую, падучую, дырявую поделку на нормальный браузер (FF то есть) поменяли? Нет? Тогда во фтопку это поделие!

anonymous
()
Ответ на: комментарий от punya

нужно собрать по этому мануалу grub2 с поддержкой efi-x86_64

Вот скрипт, использующийся в Liberté для запиливания только необходимых модулей в memdisk — возможно, кому-то будет полезен. В Liberté используется GRUB 1.99, но скрипт должен корректно работать и с GRUB 2.00_beta (который использует другие пути — по крайней мере, в Gentoo).

liberte
() автор топика
Ответ на: комментарий от ktulhu666

Он с мака грузит?

Понятия не имею. Я уже написал: пока вменяемых отзывов про работоспособность (U)EFI не было.

liberte
() автор топика
Ответ на: комментарий от ktulhu666

Штоллман спешит на помощь!

возможности передать в браузер обфусцированный/зашифрованный другим JS скрипт

Так юзай LibreJS - под благовидным предлогом борьбы с проприетарным жабоскриптом блокирует всю обфусцированную и т. п. хрень на ура. Правда пока блокировки по лицензионным соображениям у них избегает только сайт GNU.

anonymous
()
Ответ на: комментарий от Kompilainenn

Вот если скачать образину где есть слово mac в имени файла, а потом проверить на наличие каталога efi - то вы таки не поверите... :-D

dv76 ★★★★
()
Ответ на: комментарий от anonymous

Феерический баг с сохранением настроек починили?

Какой именно баг?

Нормальную установку на винт сделали?

На жеткий диск Liberté устанавливается так же, как обычно, через setup.sh, но с опцией nombr, а затем настраивается свой загрузчик. Вообще, установка на жесткий диск ничем не отличается от установки на флешку, за исключением того, что на флешке, как правило, нет других OS со своими загрузчиками.

Нормальную установку на винт сделали? Кривую, падучую, дырявую поделку на нормальный браузер (FF то есть) поменяли?

Поменяли, на другой отличный браузер — Epiphany.

liberte
() автор топика
Ответ на: комментарий от punya

нвидиа драйвер не запустится.

А я-то дурак, уже 2 года как в Демьяне под UEFI и на GF9600GT с нвидиевым драйвером живу, а он оказывается не запускается, вона оно как... Nouveau в блоклисте? В /etc/default/grub строка GRUB_CMDLINE_LINUX_DEFAULT=nouveau.modeset=0 в наличии?

dv76 ★★★★
()
Ответ на: комментарий от punya

вместо того чтобы плодить ненужные скрипты дополните пожалуйста вики-статью

Я свое дело сделал — в рассылке gentoo-dev посоветовал сфокусироваться на (U)EFI при обсуждении создания руководства к GRUB2 в вики и его последующего размаскирования в portage. Без соответствующего железа, в вики я буду только мешать.

liberte
() автор топика
Ответ на: комментарий от Andrew

Да, привинчивание UEFI-загрузки к Дебиану - отдельная история, но вполне выполнимая (хотя я таки переполз на Aptosid). Чтоб не оффтопить и если у вас есть на то желание - стучите в аську (53семьчетыре82шестьдесят).

dv76 ★★★★
()
Ответ на: комментарий от liberte

А настройки iptables на что?

А на что руткиты, социальная инженерия и просто безалаберность?

Кстати, авторы CubesOS вынос сетевой подсистемы в отдельный домен мотивируют тем что когда-то существовали серьезные уязвимости в wi-fi стеке. А на этом уровне никакие файрволлы не помогут.

Конечно, и Xen дает достаточно призрачные гарантии. В конце-концов и он и интеловское железо для параноидального компьютинга не проектировалось. Но на безрыбье...

Macil ★★★★★
()
Ответ на: комментарий от punya

пфф... неужели дебиану и другим дистрам религия не позволяет сделать по человечески как в убунте - просто записать образ на диск или распаковать содержимое образа на флеху, загрузиться с носителя с пометкой UEFI и просто установить? Нет же, надо пересобирать grub2, вручную ставить, и то не факт что поставится. Недавно пробовал поставить арч и подружить его с UEFI, выбрал арчбут, загрузился в UEFI Mode, поставил без загрузчика, потом с лайва примонтировал и за биндил нужное, сделал чрут в установленную систему, поставил grub2-efi-x86_64 на EFI-Partition, казалось бы что уефи еще надо, ведь файлы .efi в EFI-partition появились с названием Arch? незнаю, но арч так и не появился в менеджере загрузок UEFI. Плюнул я на все это дело и поставил без плясок с бубном убунту. Что мешает другим дистрам сделать UEFI-загрузчик аналогично убунте и чтобы он ставился, когда производится установка с носителя загруженного в UEFI-Mode?

Andrew ★★★
()
Ответ на: комментарий от ktulhu666

man-in-the-middle в Tor'e вообще везде.

Не путай теплое с мягким. TOR - это TOR. А вот вероятность, что злоумышленник полезет в транзитный узел связи с целью сделать врезку в твой провод стремится к нулю. Намного проще затроянить машину жертвы. Но, это лирика.

Кстати, от «настоящего» MITM криптография не защищает. Только оргмеры, только оргмеры. Но это уже другой уровень и другой логичиеский базис. Там, например, RSA-подобная криптография - безусловное зло. За подробностями можете обратиться к Навальному: он теперь знает.

Повторюсь, что не следует юзать макоси

Чувство ложной безопасности - не самое хорошее чувство. Линукс пока в стороне, но сколько это продлится? Да и помимо линукса... В тех же иксах, есть очень интересная архитектурная особенность, позволяющая очень просто делать кейлоггеры. Текущая неразбериха с D-bus'ом, init-скриптами и монстрообразными DE рождает массу вкусных нычек для всяких зловредов. Так что, было бы желание.

Macil ★★★★★
()
Ответ на: комментарий от Andrew

потомучто grub2 очень свежая весщ. кто первый сделал hybrid iso того и тапки. то что вы установили систему с такого iso заслуга вот этих пацанов а не убунтоводов передвигающих кнопки: http://lists.debian.org/debian-cd/2012/02/msg00005.html

punya ★★
()
Ответ на: комментарий от Andrew

ничего что разработчики нвидиа сказали что их блоб не работает под uefi а вы д'артаньян значит ладно. скиньте пожалуйста dmesg и Xorg.0.log

punya ★★
()
Ответ на: комментарий от punya

потомучто grub2 очень свежая весщ


значит разрабы убунты эту вешь осилили, а другие нет?

кто первый сделал hybrid iso того и тапки.


они запантентовали эту фичу в линуксе чтоли? А как же Aptosid? они нарушают патент?

то что вы установили систему с такого iso заслуга вот этих пацанов а не убунтоводов


так что мешает этим пацанам запилить EFI-загрузчик в дебиане?

Andrew ★★★
()
Ответ на: комментарий от Andrew

так что мешает этим пацанам запилить EFI-загрузчик в дебиане

внимательно читаем ссылку которую я кинул

UEFI booting requires a GPT and a special partition, which would probably be impossible to implement along with the MBR hack for hybrid booting

чего удивляться-то. убунта это анстейбл дебиан же. она для того и придумана. через годик эти поцики сделают uefi и для стейбла

punya ★★
()
Ответ на: комментарий от punya

чего удивляться-то. убунта это анстейбл дебиан же. она для того и придумана. через годик эти поцики сделают uefi и для стейбла



ну-ну, подождем.

Andrew ★★★
()
Ответ на: комментарий от liberte

Какой именно баг?

Если бы ты хоть раз попробовал изменить настройки в своем поделии и после этого перезагрузиться, то не задавал бы таких глупых вопросов.

На жеткий диск Liberté устанавливается так же, как обычно, через setup.sh, но с опцией nombr, а затем настраивается свой загрузчик. Вообще, установка на жесткий диск ничем не отличается от установки на флешку, за исключением того, что на флешке, как правило, нет других OS со своими загрузчиками.

Если ты думаешь, что делать из жесткого диска livecd - это гениальная идея, у меня очень плохие новости для тебя.

Поменяли, на другой отличный браузер — Epiphany.

Кривульку на кривульку? Лопата, копать.

anonymous
()
Ответ на: комментарий от punya

UEFI booting requires a GPT and a special partition, which would probably be impossible to implement along with the MBR hack for hybrid booting

Это не совсем так:

UEFI Spec 2.3.1 Err. A, §12.3.3

UEFI implementations may allow the use of conforming FAT partitions which do not use the ESP GUID.

ibid., §12.3.1

The EFI firmware contains knowledge about the partition structure of various devices, and can understand legacy MBR, GPT, and “El Torito.”

ibid., §12.3.2

This specification requires the firmware to be able to parse the legacy master boot record (MBR) (see Section 5.2.1), GUID Partition Table (GPT) (see Section 5.3.2), and El Torito (see Section 12.3.2.1) logical device volumes.

Алсо, буду признателен холиварщикам, если протестируют (U)EFI в Liberté — я недели две корпел над реализацией.

liberte
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.