The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз дистрибутива Tails 4.5 с поддержкой UEFI Secure Boot

08.04.2020 10:36

Представлен релиз специализированного дистрибутива Tails 4.5 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1.1 ГБ), способный работать в Live-режиме.

Основные изменения:

  • Добавлена поддержка загрузки в режиме UEFI Secure Boot.
  • Осуществлён переход с aufs на overlayfs для организации записи поверх ФС, работающей в режиме только для чтения.
  • Tor Browser обновлён до версии 9.0.9, синхронизированной с выпуском Firefox 68.7.0, в котором устранено 5 уязвимостей, из которых три (CVE-2020-6825) потенциально могут привести к выполнению кода при открытии специально оформленных страниц.
  • Осуществлён переход с тестового набора Sikuli на комбинацию из OpenCV для оценки соответствия изображений, xdotool для тестирования управления мышью и libvirt для тестирования управления с клавиатуры.


  1. Главная ссылка к новости (https://blog.torproject.org/ne...)
  2. OpenNews: Релиз дистрибутива Tails 4.4 и Tor Browser 9.0.6
  3. OpenNews: Релиз дистрибутива Tails 4.0
  4. OpenNews: Выпуск новой стабильной ветки Tor 0.4.2
  5. OpenNews: Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS-уязвимости
  6. OpenNews: Обновление Tor Browser 9.0.7
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/52693-tails
Ключевые слова: tails, tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 12:40, 08/04/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +1 +/
     
     
  • 2.3, Аноним (3), 12:47, 08/04/2020 Скрыто модератором
  • +3 +/
     
  • 2.8, gogo (?), 13:18, 08/04/2020 Скрыто модератором
  • +2 +/
     
  • 2.10, КО (?), 13:47, 08/04/2020 Скрыто модератором
  • –1 +/
     
  • 2.11, Аноним (11), 14:06, 08/04/2020 Скрыто модератором
  • –1 +/
     

     ....ответы скрыты модератором (4)

  • 1.4, Аноним (4), 12:48, 08/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Единственный дистр где поддержка Secure Boot действительно оправдана.
     
     
  • 2.6, Аноним (6), 13:01, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А другим почему не надо верифицировать загрузку?
     
  • 2.9, gogo (?), 13:23, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все было бы идеально, вот только их ключи для secure boot в мамки не завезли...
    Так что это глумление, если загрузчик "секюрной" ОС подписан чужими ключами.
     
     
  • 3.12, Вася (??), 14:15, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще то во всех нормальных серверных и десктопных системах есть custom enroll своих ключей, подписал загрузчик утилитой mokutil и воткнул свои ключи в db, а все другие убрал.

    Просто так и скажите "лень вникать и разбираться"

    Что может быть плохого в валидации чексуммы загружаемых на ранних стадиях bin-блобах? Это только плюс. Хотя и не гарантия, что вы не цепанете в онлайне эксплойт который исполнит malware прошивку, для этого надо посложнее заморочиться (во первых есть модуль ядра от поляков который делает превентивную эвристическую защиту от всех известных в общем плане подходов к arbitrary code и обрубает их, ну или вот решение недавние от ms для Линукс или его альтернативы.

    В хромось это реализовано из коробки

     

  • 1.5, Аноним (5), 12:50, 08/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а арч походу никогда не сделаею секьюрити бут
     
     
  • 2.13, Вася (??), 14:19, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да что там арч! Clear блять Linux за N лет до сих пор не поддерживает Secure Boot из коробки... Это чтоб вы понимали это Linux от Intel созданный под флагом "secure by design" и не поддерживающий секьюре технологию придуманную в Intel... мир сошел с ума (с)
     
     
  • 3.15, Аноним (15), 15:04, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пора бы уже осознать, что Clear Linux -- это пет проект по фану, единственная цель его существования -- унижать конкурирующие компиляторы в попугаеметрах. По-моему, он никогда и не позиционировался как дистрибутив для пользователей. Может там с alpine поконкурирует ещё.
     

  • 1.7, Аноним (6), 13:04, 08/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дело не в одном secureboot.

    Загрузка должна быть полностью верифицирована. Включая не только первый этап - загрузчик. А также ядро, init, ВСЕ программы, библиотеки, настройки.

     
     
  • 2.14, Anonymouse (?), 15:00, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так же не допустима загрузка без онлайн проверки самого верификатора
     
     
  • 3.16, Аноним (16), 18:58, 08/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А также ядра, init, ВСЕХ программ, библиотек, настройки.
     
  • 3.18, Аноним (18), 08:15, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Так же не допустима загрузка без онлайн проверки самого верификатора

    Это шутка? Несмешно. Хочешь чтобы тебя все майоры *рочили еще во время загрузки?

     
  • 3.20, Аноним (18), 08:33, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.linux.org.ru/forum/admin/15194240?cid=15195110
     
  • 3.21, Геймер (?), 09:57, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно. Через ШТТПС и Летсенкрипт
     
     
  • 4.24, Аноним (24), 12:39, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы что все обкурились?

    Какая проверка через интернет сертификатов используемых в Integrity?

    Вас Бил Гейц с товарищем майором всех покусали?

     
  • 4.25, Аноним (25), 09:56, 11/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Так же не допустима загрузка без онлайн проверки самого верификатора
    > Через https и Летсенкрипт

    В системе Integrity каждый админ должен для своей сети/компа лично выступать удостоверяющим центром! ЛИЧНО выпустить СВОЙ корневой сертификат CA для подписи других СВОИХ сертификатов используемых в Integrity.

    Публичная часть этого корневого сертификата CA грузится в CONFIG_SYSTEM_TRUSTED_KEYS="путь"
    и этим сертификатом удостоверяюца другие, созданные исключительно вами, сертификаты для проверки Integrity, публичная часть которого подгружается например в CONFIG_EVM_X509_PATH="путь". Поддержку других сертификатов в ядре можно отключить, как и возможность добавления новых. Все эти сертификаты ядерные и способны подписывать даже модули ядра.

    Приватной части сертификатов ядра Linux в рабочей системе физически быть не должно в любом виде!

    Доверять чужомым сертификатам для системы Integrity нельзя. Даже если это фирма с непорочной репутацией как M$. Админа который в подсистему Integrity добавляет чужой, не созданный им самим, сертификат можно уволить как не соответствующего к требованиям занимаемой должности!!!

     
  • 2.17, Аноним (17), 06:36, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Загрузка должна быть полностью верифицирована

    Кому должна?

     
     
  • 3.19, Аноним (18), 08:16, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пользователю системы.
     
  • 2.22, anonymous (??), 10:59, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ядро верифицировать -- не проблема. Проблема в user space-е, но тут вот недавно новость проскочила и на эту тему тоже: https://www.opennet.ru/opennews/art.shtml?num=52691
     
     
  • 3.23, Аноним (24), 12:35, 09/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/120270.html#135

    Использую Integrity очень давно, в том числе при доступе. У меня проблем в юзерспейсе не было и нет!

    Какие, конкретно ты, проблемы испытуешь при верификации всего начиная с init? Здесь даже внедрение systemd не должно стать помехой, хоть я его и не использую.

    [b]Проблем нет:
    1. Создал пару секретный/публичный ключ.
    2. Публичный подгрузил в ядро.
    3. Секретным подписал хеши, атрибуты и далеко упрятал.
    4. При загрузке в параметры ядру передал проверять. Все!!![/b]

    Даже сам Потеринг в этой цепочке не способен что-то испортить. За дело взялся M$...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру