The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

AnikOS - попытка формирования концепций защищенного дистрибутива Linux

23.05.2011 14:59

Вышла первая предварительная версия дистрибутива "AnikOS", создаваемого с целью построения системы повышенной защищенности для рабочих станций и серверов. Дистрибутив основан на разработках проекта Hardened Gentoo, а также включает в себя ряд дополнительных технологических решений, реализующих механизмы защиты информации на уровне операционной среды. Предварительная версия AnikOS выполнена в виде LiveCD (размер iso-образа 1.1 Гб) с возможностью установки на жесткий диск.

Особенности дистрибутива:

  • Ядро Linux 2.6.28.6 с наборами патчей GRsecurity и PAX;
  • Графическая подсистема: Xorg Server 1.10.1, LibDRM 2.4.25+, Mesa 7.10.2+;
  • Рабочее окружение: XFce 4.8, Thunar File Manager 1.2.1+, Slim DM;
  • Возможность установки и запуска Windows-приложений посредством Wine 1.3.20;
  • Офисные приложения: LibreOffice 3.3.2.2, Gedit 2.30.4, Notepad++ 5.9 (предустановлено в Wine);
  • Веб-браузеры: Chromium 12.0.742 и Mozilla Firefox 4.0.1;
  • Почтовый клиент Mozilla Thunderbird 3.1.10;
  • VoIP-клиент Ekiga 3.2.7;
  • Bittorrent-клиент Transmission 2.31;
  • Синхронизация данных и резервное копирование: DejaDup и Grsync;
  • Графический интерфейс управления персональным межсетевым экраном (iptables) посредством Firewall Builder 4.2;
  • Возможность использования шифрованных контейнеров для хранения конфиденциальной информации: TrueCrypt 7.0a;
  • Возможность аутентификации с использованием внешних USB-устройств посредством модуля PAM_USB;
  • Glibc 2.13;
  • GCC Hardened 4.4.5 (p1.2, pie-0.4.5).


  1. Главная ссылка к новости (https://sourceforge.net/projec...)
  2. OpenNews: Началось бета-тестирование безопасного Linux-дистрибутива Qubes OS
Автор новости: novic_dev
Тип: Программы
Короткая ссылка: https://opennet.ru/30632-gentoo
Ключевые слова: gentoo, linux, security, anikos
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 16:51, 23/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Безопасность hardened gentoo - это миф, преувеличенный пиаром. Основа этой "безопасности" - древнее ядро с кучей незакрытых дыр. Более новые (менее уязвимые) ядра использовать проблематично, потому что на них хреново ложатся какбэ "безопасные" патчи grsecurity/pax, которые по части обеспечения безопасности умеют разве что рандомно валить систему (ага, паникующее ядро действительно сложно взломать).

    По-настоящему безопасными среди линуксов являются разве что RHEL-based дистрибутивы - в них можно включить SELinux, и система сможет нормально работать (в других дистрах это нереально). Кроме того, у красношапки очень жесткая политика аудита кода, большинство фиксов по безопасности ядра поступают от них.

     
     
  • 2.3, pavlinux (ok), 17:05, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Как SELinux спасает от разыменования NULL-указателя, и переполнения стека в флехе?  
    ---
    Первый шаг к безопасности - выкидывание железа с маркой Intel. :)
     
     
  • 3.5, Аноним (-), 17:20, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    От дыр в ядре спасает аудит кода ядра. В отличие от grsecurity/pax оно не только реально работает, но еще и не приводит к падению стабильности ниже плинтуса.
     
     
  • 4.8, pavlinux (ok), 18:07, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > От дыр в ядре спасает аудит кода ядра.

    Ага,... через лет 5-7 можно будет дать заключение.

     
  • 4.12, Аноним (-), 19:54, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > От дыр в ядре спасает аудит кода ядра. В отличие от grsecurity/pax
    > оно не только реально работает, но еще и не приводит к
    > падению стабильности ниже плинтуса.

    Ну как бы лишний слой защиты еще никому не мешал. Особенно с учетом того что selinux выносится сплойтами одной левой. А PaX нацелен на усложнение эксплойтам жизни.

     
     
  • 5.17, анон (?), 21:08, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Ну как бы лишний слой защиты еще никому не мешал.

    Кроме тех случаев, когда он, вместо того, чтобы защищать, начинает играть на руку нападающим. pax и grsecurity закрывают некоторые дыры, но вынуждают пользоваться старыми дырявыми ядрами. Кроме того, стабильность там ниже плинтуса, паники ядра на ровном месте.

    >Особенно с учетом того что selinux выносится сплойтами одной левой.

    Не надо подменять понятия. selinux защищает прежде всего юзерспейс, против дыр ядра он бессилен. От них может защитить только виртуализация, как это сделано в qubes os. Всё остальное - плацебо.

    > А PaX нацелен на усложнение эксплойтам жизни.

    Одному эксплойту жизнь усложнит, десяти - облегчит.

     
     
  • 6.22, Гентушник (ok), 21:57, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > но вынуждают пользоваться старыми дырявыми ядрами.

    Релиз 2.6.39 на kernel.org: 2011-05-19
    Ебилд 2.6.39 добавлен в тот же день.

    К тому же самое новое ядро не единственное где фиксятся дырки. Их ещё бекпортируют в другие ветки.

    > Кроме того, стабильность там ниже плинтуса, паники ядра на ровном месте.

    Хватит звиздеть. Киляние неугодных процессов - да, но паники это какие же руки надо иметь чтобы до паники его довести?

     
     
  • 7.27, анон (?), 23:40, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Ебилд 2.6.39 добавлен в тот же день.

    А что, патчи pax и grsecurity там тоже в комплекте? И они корректно накладываются?
    Тогда надо срочно отправить их разработчику, а то он, несчастный, всё никак патчи для 38-го оттестировать не может (да и stable ветка там оставляет желать лучшего).

    >К тому же самое новое ядро не единственное где фиксятся дырки. Их ещё бекпортируют в другие ветки.

    Бекпортировать что-либо на ядро с pax и grsecurity - себе дороже. Оно даже по дефолту стабильностью не отличается, а если там ещё и поправить что-то, так вообще может не запуститься :-)

    >Киляние неугодных процессов - да,

    А что, оно ещё и процессы рандомно убивает? Не знал.

    >но паники это какие же руки надо иметь чтобы до паники его довести?

    Скажу по секрету: к паникам этого быдлокода могут привести даже абсолютно легальные сисколлы. А то ж почему, по-вашему, его в мейнстрим не берут?

     
     
  • 8.31, Гентушник (ok), 01:14, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ошибся Но не суть важно Я говорю о том что нет никакого смысла гнаться за само... текст свёрнут, показать
     
  • 6.24, Гентушник (ok), 21:59, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А PaX нацелен на усложнение эксплойтам жизни.
    > Одному эксплойту жизнь усложнит, десяти - облегчит.

    Пример облегчения жизни эксплойту конкретно PaX'ом или слив защитан.

     
     
  • 7.28, анон (?), 23:44, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пример облегчения жизни эксплойту конкретно PaX'ом

    Пожалуйста: любой сплойт для дыры, обнаруженной с момента выпуска 2.6.28.6 (февраль 2009) по текущий момент :-)

     
     
  • 8.32, Гентушник (ok), 01:17, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда эта версия Вот же патчи http grsecurity net test php... текст свёрнут, показать
     
     
  • 9.39, коксюзер (?), 06:51, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы кормите жирного тролля ... текст свёрнут, показать
     
  • 9.41, Alex (??), 10:10, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да хватит же кормить троля Не ужели не видно, что все высказывания многоуважаем... текст свёрнут, показать
     
  • 6.26, alexxy (ok), 23:35, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Прямо так старыми и дырявыми?


    # uname -a
    Linux somesite 2.6.38-hardened #2 SMP PREEMPT Tue Mar 29 23:22:25 MSD 2011 x86_64 Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz GenuineIntel GNU/Linux

    Мда.. это hardened gentoo (pax+grsec)

     
     
  • 7.29, анон (?), 23:47, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > # uname -a
    > Linux somesite 2.6.38-hardened #2 SMP PREEMPT Tue Mar 29 23:22:25 MSD 2011
    > x86_64 Intel(R) Core(TM) i3 CPU 540 @ 3.07GHz GenuineIntel GNU/Linux
    > Мда.. это hardened gentoo (pax+grsec)

    ...
    >2.6.38
    >pax

    Особенно умиляет на фоне того факта, что последний стабильный релиз pax был выпущен для ядра 2.6.27 :-)

     
  • 3.6, cmp (ok), 17:38, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. Безопасность десктопа понятие весма сомнительное, потому как не может одна компания написать все программы и плагины к ним, и не потому, что индусов мало, а из-за необходимости для этого нарушить кучу чужих патентов.
    1.1 Аудит чужого кода, трудозатратнее написания своего, да и не всегда этот код дадут посмотреть, в лучшем случае будем иметь не самый свежий софт.
    2. В новостях на опеннете не раз мелькали новости о нахождении дыр, и не раз в них исключением был RHEL как не подверженный в связи с каким-то там их патчем. А откуда вылез автор этого чуда совершенно не ясно, ИМХО, очередной дениска решил завоевать мир.
     
     
  • 4.13, Аноним (-), 20:04, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Безопасность десктопа понятие весма сомнительное, потому как не может одна компания
    > написать все программы и плагины к ним, и не потому, что
    > индусов мало, а из-за необходимости для этого нарушить кучу чужих патентов.

    Одна компания написала операционку и брауер. Сами знаете какие. И теперь постоянно выпускает к ним патчи почему-то... :). Тезис опровергнут.

     
     
  • 5.37, cmp (ok), 06:15, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Одна компания написала операционку и брауер. Сами знаете какие. И теперь постоянно
    > выпускает к ним патчи почему-то... :). Тезис опровергнут.

    Сомнительность безопасности именно этой оси и этого браузера дают право на данное утверждение.

     
  • 4.21, анон (?), 21:53, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >1.1 Аудит чужого кода, трудозатратнее написания своего,

    Да, но зато чужой код после независимого аудита станет потенциально более безопасным, а для написанного с нуля собственного кода независимый аудит надо ещё организовать :-)

    >да и не всегда этот код дадут посмотреть,

    Разумеется, закрытый софт необходимо рассматривать как затрояненный по определению, это азы безопасности. Но сейчас вроде как про опенсорс говорим?

    >в лучшем случае будем иметь не самый свежий софт.

    Неизбежные издержки, надо мириться. А если смириться никак - значит, безопасность в данном случае не так уж и важна была...

    >А откуда вылез автор этого чуда совершенно не ясно, ИМХО, очередной дениска решил завоевать мир.

    Это было понятно с первых строчек новости :-)

     
  • 2.11, Аноним (-), 19:49, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в них можно включить SELinux,

    Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от него много.

     
     
  • 3.18, анон (?), 21:10, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
    > него много.

    Отнюдь не первым. Нужна охрененно большая дыра в ядре, такая, чтобы ничего не спасало (кроме виртуализации или air gap).

     
  • 3.19, анон (?), 21:11, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
    > него много.

    Кстати, то же самое можно сказать про pax & grsecurity :-)

    Правда, от них гемора ещё больше. Гораздо больше.

     
  • 3.33, fcuku (ok), 01:45, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> в них можно включить SELinux,
    > Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
    > него много.

    Глупости говорите.


     
     
  • 4.40, коксюзер (?), 06:55, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да нафиг ваш селинукс, выносится  первым же эксплойтом. А геморроя от
    >> него много.
    > Глупости говорите.

    Почему глупости? SELinux действительно просто отключить посредством эксплуатации уязвимости ванильного ядра. Пейлоад есть, например, здесь: https://grsecurity.net/~spender/enlightenment.tgz

     
  • 2.45, Ващенаглухо (ok), 13:05, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    как много текста...
    кстати говоря, ни один из экплойтов у меня не заработал под hardened ядром (причем старым)
     

  • 1.2, нонэйм (?), 17:00, 23/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > Notepad++ 5.9 (предустановлено в Wine);

    O_o

     
  • 1.10, Аноним (-), 19:18, 23/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как соотносится супербезопасность и "Возможность установки и запуска Windows-приложений"?
     
     
  • 2.14, Аноним (-), 20:04, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как соотносится супербезопасность и "Возможность установки и запуска Windows-приложений"?

    Теперь вы сможете выполнять троянов еще безопаснее :)


     
     
  • 3.16, Аноним (-), 20:51, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот - теперь на линукс можно поставить нормальный виндовый антивирус и не бояться за безопасность... Гениально!
     

  • 1.20, Аноним (-), 21:49, 23/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    расходятся данные по особенностям дистрибутива
     
  • 1.23, Аноним (-), 21:59, 23/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще-то интеллигентные люди сперва рожают концепцию, а потом пишут код в соответствие с ней. А лошадь впереди телеги вообще характерно ставить для СПО - сперва пишем, потом думаем. Одно принципиальное отсутствие стандартов чего стоит.
     
     
  • 2.25, Аноним (-), 23:08, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А телегу впереди лошади - в проприетарном ПО, согласен
     
  • 2.30, анон (?), 23:48, 23/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Одно принципиальное отсутствие стандартов чего стоит.

    Принципиальное отсутствие стандартов - это же визитная карточка microsoft. Каким боком здесь СПО?

     
     
  • 3.42, Аноним (-), 10:48, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тю. Прямым. Win32 худо-бедно стандарт. Написанное 10 лет назад ПО с высокой вероятностью стартует на XP/семере. Far, например. Есть ABI/API совместимость между дистрами пингвиня? Полная, м? Или на уровне "сорцы-configure && make && make install" совместимость не обязательна?
     
     
  • 4.46, Аноним (-), 00:13, 25/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    POSIX - худо-бедно стандарт. UTF-8 - стандарт. А Win32 - ну нифига не стандарт, скорее анти-стандарт. Учите предметную область и избавляйтесь от синдрома утенка.
     
  • 2.35, fcuku (ok), 01:51, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то интеллигентные люди или интегрируют PAX в ваниллу, или игнорируют его.
     
  • 2.36, NoName (?), 02:20, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > интеллигентные люди сперва рожают концепцию, а потом пишут код в соответствие с ней.
    > А лошадь впереди телеги вообще характерно ставить для СПО - сперва пишем, потом думаем.

    Разумеется, так и есть. Разве что, интеллигентными зря троллей называете. Сперва рожают концепцию: возникает идея на чём бы обобрать весь мир, потом считают - сколько будет прибыли, потом считают сколько затрат на разработку, потом минимизируют затраты и кое-как лишь бы что-то реализуют, а дальше оптимизируют рекламу/стоимость/продажи до максимума. И набивают карманы деньгами. Уныло как-то, не правда ли? А в случае с СПО так и есть: сперва напишут что-то - неизвестно что, воплотив самые немыслемые идеи! никому, казалось бы, ненужное на данный момент! но это невиданное ранее и гениальное! прорыв в новое время! и новую эпоху человечетсва! Открытие!!! а потом... всем миром уже думают, как бы куда применить это, в том числе и тролли, чтобы набить себе карманы :) Так ведь если посмотрите и есть всё в мире, сперва открыли что-то (вместо что-то подставить что угодно) причём ради идеи создания и воплощения, а потом уже через какое-то время обрело применение, причём такое, что казалось бы, как же раньше люди то жили без этого, разве возможно это? (подставить можно и электричество, и лазер, и плазмы и те же компьютеры и всё что угодно... вплоть до тетриса) :)
    P.S. а теперь время малость пошутить :)
    > лошадь впереди телеги

    а вы, видимо, всегда лошадей позади повозки запрягаете? да, видимо, и на машине ездите туда на 5и скоростях, а обратно возвращаетесь на одной задней ;) хи

     
     
  • 3.43, Аноним (-), 10:52, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > подставить что угодно) причём ради идеи создания и воплощения, а потом
    > уже через какое-то время обрело применение, причём такое, что казалось бы,
    > как же раньше люди то жили без этого, разве возможно это?
    > (подставить можно и электричество, и лазер, и плазмы и те же
    > компьютеры и всё что угодно... вплоть до тетриса) :)
    > P.S. а теперь время малость пошутить :)
    >> лошадь впереди телеги
    > а вы, видимо, всегда лошадей позади повозки запрягаете? да, видимо, и на
    > машине ездите туда на 5и скоростях, а обратно возвращаетесь на одной
    > задней ;) хи

    Еще один солипсический идеалист.

    Эй, мужик! Весь мир работает за деньги! Иначе сиди на ГОА, жри бананы с дерева и жаст фор фан пиши софт. Не? Не катит? Надо на машинке ездить? В Турцию к аниматорам - и опять за презренное бабло? Жене шубу купить - опять презренный металл?

    Тоже мне, бескорыстные двигатели прогресса! Если так - так будьте последовательными и донейтов не просите! А то островок коммунизма посреди капиталистического океана построили, понимаешь, а от зависимости от презренного бабла не избавились!

    Вот чем вы достаете, альтруисты хреновы. Сперва пускай коммунизм на земном шаре победит, а потом мы поговорим о "От каждого по способностям - каждому по потребностям".

     
     
  • 4.44, Аноним (-), 11:40, 24/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У вас очень ограниченный кругозор, вы не видите возможностей дальше продажи определенных строк кода. У open source другие бизнес-модели.
     
  • 4.47, Металлист (?), 00:16, 25/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > опять презренный металл?

    метал не трожьте!

     

  • 1.38, коксюзер (?), 06:48, 24/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хотелось бы какой-никакой документации, хотя бы обзорной, хотя бы по ключевым отличиям от Hardened Gentoo.
     
  • 1.48, Ващенаглухо (ok), 12:15, 25/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати а почему на скриншотах в выводе paxtest-a так много vunerable ?
    Что то не так собрали?

    У меня vunerable только на этих двух:
    Return to function (memcpy)      
    Return to function (memcpy, RANDEXEC)

     
     
  • 2.49, коксюзер (?), 15:45, 25/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > кстати а почему на скриншотах в выводе paxtest-a так много vunerable ?
    > Что то не так собрали?

    <trolling>Наверно повключали все опции PaX и SOFTMODE за одно. ;)</trolling>

     

  • 1.50, Ващенаглухо (ok), 23:11, 28/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    альфа 3 не грузится, не может замонтировать loop
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру