Forum Debian Users Gang

remi · 2016-03-17 14:44:28

Serwus. Pojawiła się nowa, bazująca na Debianie dystrybucja, realizująca tzw. "[i]hardening[/i]" systemu na wielu różnych poziomach. Jądro, system plików, aplikacje oraz konfiguracja sieci są skonfigurowane w sposób mający na celu odizolowanie procesów etc., co ma zabezpieczyć system przed atakami. Niemniej, projekt jest dosyć nowym przedsięwzięciem i jeszcze nie wszystkie, obiecane funkcje, zostały zaimplementowane. Na stronie głównej projektu, Subgraph OS przedstawiany jest jako: "[i]difficult to attack[/i]" oraz: "[i]system hardening and a proactive, ongoing focus on security and attack resistance[/i]".

Jądro, w wersji 4.4.2, zawiera kilka znaczących zmian. Po pierwsze, zostały zastosowane łatki Grsecurity wraz z narzędziem [url=https://github.com/subgraph/paxrat][color=blue][tt]paxrat[/tt][/color][/url], które służy do ustawiania flag PAX dla poszczególnych aplikacji: "[i]these flags control the use of secure memory protections, address space layout randomization (ASLR), trampoline emulation, and non-executable pages[/i]". Pełna konfiguracja kernela, dostępna jest via [url=https://github.com/subgraph/subgraph-kernel-configs][color=blue]GitHub[/color][/url]. Dokonano również dezaktywacji wielu protokołów sieciowych (takich jak IPX, IrDA, X.25 etc.). Ze względu na fakt, że Subgraph OS korzysta z sieci Tor, dla wszystkich połączeń, wsparcie IPv6 jest nieaktywne vide: "[i]Tor's IPv6 support is an ongoing effort, and it is certainly true that few existing Tor nodes support IPv6—perhaps few enough to make relying on it a gamble[/i]". Na poziomie aplikacji, wszystkie główne programy uruchamiane są wewnątrz systemu Sandboxing, wykorzystując [url=https://github.com/subgraph/oz][color=blue]Oz[/color][/url]. Dodatkowo: "[i]system uses standard containment methods like namespaces, capabilities, and seccomp filters, plus the Xpra X11 forwarding server[/i]". Poza tym, ostatnio dodano profile AppArmor dla wszystkich "zagrożonych" aplikacji. Możliwe jest szyfrowanie dysków za pomocą LVM oraz LUKS. Ciekawym faktem, jest nie prezentowanie użytkownikowi opcji instalacji bez szyfrowania. Oczywiście, nie są to wszystkie możliwości, jakie oferuje Subgraph OS. Więcej informacji, znajduje się na oficjalnej stronie projektu.

Użytkownicy, którzy są zainteresowani ww. dystrybucją, powinni mieć świadomość, że w chwili obecnej jedynymi, dostępnymi obrazami ISO są te dla maszyn typu x86_64. Aktualna wersja Subgraph OS jest oparta na edycji testowej (Testing) Debiana, która będzie kolejnym wydaniem Stabilnym — 9. aka "[i]Stretch[/i]".

Oficjalna strona projektu: [url=https://subgraph.com/sgos/][color=blue][b]SGOS[/b][/color][/url].

Pozdrawiam.

uzytkownikubunt · 2016-03-17 14:50:10

2856

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:37:32)

Pavlo950 · 2016-03-17 14:53:09

[quote=uzytkownikubunt][quote=remi]Ze względu na fakt, że Subgraph OS korzysta z sieci Tor, dla wszystkich połączeń[/quote]
Nie chce mi się do źródła informacji zaglądać, ale jeśli jest tak jak piszesz to nie jest dobre rozwiązanie.[/quote]
A to dlaczego? Toć to idealne rozwiązanie dla "dyskretnych" czynności.

mati75 · 2016-03-17 14:58:59

Puszczanie wszystkiego przez tor też do bezpiecznych nie należy.

uzytkownikubunt · 2016-03-17 15:01:58

2857

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:37:33)

Jacekalex · 2016-03-17 18:06:05

Zobaczymy, takich hardened dystrybucji już widziałem kilka, i zawsze się to kończyło, kiedy zabrakło słomy do ogniska.

Puszczanie wszystkiego przez TOR? jak mam 100% ruchu puszczać przez TOR, to równie dobrze mogę wysłać swoje dane od razu do ABW z ostrzeżeniem, bo byłbym jedynym takim pacjentem w całej Europie.
Tyle na temat prywatności z siecią TOR.

Ale przynajmniej by mi po interwencji nowe drzwi wstawili na koszt państwa.
XD

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00094	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.65.198' WHERE u.id=1
0.00065	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.65.198', 1732702774)
0.00041	SELECT * FROM punbb_online WHERE logged<1732702474
0.00048	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28409 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00092	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28409 ORDER BY p.id LIMIT 0,25
0.00076	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28409
Total query time: 0.00435 s

Forum Debian Users Gang

Ogłoszenie

#1 2016-03-17 14:44:28

remi - amputować akrobatów

Subgraph OS - dystrybucja typu "hardened", bazująca na Debianie.

#2 2016-03-17 14:50:10

uzytkownikubunt - Zbanowany

Re: Subgraph OS - dystrybucja typu "hardened", bazująca na Debianie.

#3 2016-03-17 14:53:09

Pavlo950 - człowiek pasjonat :D

Re: Subgraph OS - dystrybucja typu "hardened", bazująca na Debianie.

#4 2016-03-17 14:58:59

mati75 - Psuj

Re: Subgraph OS - dystrybucja typu "hardened", bazująca na Debianie.

#5 2016-03-17 15:01:58

uzytkownikubunt - Zbanowany

Re: Subgraph OS - dystrybucja typu "hardened", bazująca na Debianie.

#6 2016-03-17 18:06:05

Jacekalex - Podobno człowiek...;)

Re: Subgraph OS - dystrybucja typu "hardened", bazująca na Debianie.

Stopka forum

Informacje debugowania