Когда имеет смысл модель безопасности Puppy Linux?

Я только что провел несколько часов, играя с Puppy linux, у которого есть несколько очень приятных функций, но есть некоторые вещи в его подходе к безопасности (по крайней мере, настройки по умолчанию), которые меня беспокоят:

1. Кажется, что предполагаемый способ использовать это, чтобы запустить все как root
2. Нет пароля для root (по умолчанию - конечно, я мог бы добавить один)
3. Насколько я могу судить, не существует автоматизированного (или даже простого неавтоматизированного) способа получения обновлений безопасности для пакетов. (Я мог что-то пропустить.)

Я всегда вбивал себе в голову важность наличия сложного пароля, не просматривая Интернет в качестве администратора / пользователя root и постоянно обновляя системное программное обеспечение (и браузер, и плагины) с помощью исправлений для последних уязвимостей. Однако, несмотря на то, что выглядит для меня как рецепт катастрофы (обрисовано в общих чертах выше), Puppy достаточно популярен, чтобы иметь множество побочных эффектов, поэтому должны быть сценарии, в которых очевидное отсутствие безопасности не является проблемой. Кто они такие?

Щенок - это игрушечный дистрибутив для любителей. Это единственный сценарий, в котором модель безопасности Puppy (отсутствие) имеет смысл.

Агентства, занимающиеся изучением информационной безопасности, публикуют стратегии смягчения последствий, основанные на статистике вторжений, которые они видят. Вот список правительства Австралии:

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

По их оценкам, следование четырем лучшим стратегиям остановит 85% вторжений. Эти:

1. Патч-приложения, например, программа просмотра PDF, Flash Player, Microsoft Office и Java. Исправление или устранение в течение двух дней для уязвимостей с высоким риском. Используйте последнюю версию приложений.

2. Патч уязвимостей операционной системы. Исправление или устранение в течение двух дней для уязвимостей с высоким риском. Используйте последнюю версию операционной системы.

3. Минимизируйте количество пользователей с правами администратора домена или локального администратора. Такие пользователи должны использовать отдельную непривилегированную учетную запись для просмотра электронной почты и просмотра веб-страниц.

4. Белый список приложений, помогающий предотвратить запуск вредоносного программного обеспечения и других неутвержденных программ, например, с помощью политик ограниченного использования программ Microsoft или AppLocker.

Щенок терпит неудачу по всем этим пунктам. Серьезные дистрибутивы, такие как Fedora, OpenSUSE, Debian и т. Д., Намного безопаснее. Все эти дистрибутивы имеют активные списки рассылки по безопасности, которые предоставляют своевременные исправления безопасности, предлагают белый список приложений через AppArmor и / или SELinux и, конечно, не запускают все как root (честно, wtf?).

Если вы цените свою безопасность, не используйте Puppy для чего-либо серьезного.

Более 30 лет программировал на десятках языков от сборки до администрирования баз данных Oracle , и я не нашел ничего более безопасного и надежного, чем Puppy Linux .

Как и все системы Unix / Linux, безопасность Puppy Linux - это мир, совершенно иной, чем тот, с которым Microsoft знакома больше всего. Прискорбие, выраженное в других ответах, вполне понятно, хотя с точки зрения Microsoft, но связано с отсутствием понимания того, что существуют другие подходы к безопасности.

Как правило, операционные системы Microsoft Windows предполагают полный доступ ко всему, если явно не отказано. Unix / Linux не предполагает доступа к чему-либо, если это явно не разрешено. Это имеет большое значение для предотвращения несанкционированного доступа.

Пользователю * nix rootпредоставляется полный доступ к большинству всего, хотя даже rootобычно ему запрещается выполнять такие действия, как выполнение файла, для которого не установлен флаг разрешения на выполнение, и подключение к другому хосту через SSH без пароля или предварительно согласованного совместного использования ключей.

В отличие от «родного» Linux, Puppy Linux был оптимизирован для однопользовательской среды. Один пользователь rootимеет полный контроль над этой машиной и, таким образом, способен лучше защитить ее от злоумышленников. Если вам нужно разместить несколько пользователей, попробуйте один из множества других хороших дистрибутивов Linux.

Использование Puppy Linux стековых файловых систем unionfs / aufs позволяет хранить все файлы, кроме недавно измененных, только для чтения. Это обеспечивает возможность отмены, которая позволяет легче восстановить всю систему до заведомо исправного состояния. В качестве последнего средства исходная система в распределенном состоянии находится на нижнем доступном только для чтения слое, куда ее можно перезагрузить, сохраняя при этом последующие изменения на верхних уровнях.

Хотя это редко обсуждается, частое исправление программного обеспечения является обоюдоострым мечом. Новые версии должны всегда соответствовать текущему оборудованию, которое часто создает сбои во взаимодействии со старым программным и аппаратным обеспечением. Вот почему, если вы хотите сохранить что - нибудь уточненный, вы должны держать все уточненный.

Патчирование может быть единственной надежной защитой в средах Microsoft, но каждый Linux поставляется с большим набором инструментов для обеспечения безопасности систем при работе на оборудовании, которое не является последним и лучшим.

Puppy Linux в основном используется программистами, системными администраторами и аналитиками для решения своих повседневных задач:

• Доступ в интернет десятков сайтов одновременно с нескольких машин / пользователей.
• Разработка программного обеспечения практически на любом языке, когда-либо изобретенном.
• Экспериментируя с бесконечными перестановками и комбинациями конфигураций программного обеспечения.
• ... и даже проверять электронную почту и социальные сети, отвечая на вопросы здесь.

Стандартная «серьезная» парадигма Linux может дать ложное чувство безопасности, а также время от времени разочаровывает отказом в доступе (чей компьютер?). Поэтому становится необходимым запускать многие приложения как «root», даже когда они подключены к www. Между прочим, я использовал «живого» Puppy, чтобы разорвать установку на основе Debian, которую я сделал намеренно «чрезмерно безопасной». Я также сделал то же самое с KolibriOS («Hummingbird OS»), который написан на ~ 100% ASM и не распознает предполагаемые «защиты». Например, на внешнем носителе, отформатированном в ext4, папка «утерян и найден» заблокирована большинством Linuxen, но не Puppy.

В любом случае (AFAIK) наиболее уязвимый потенциальный вектор атаки / заражения, веб-браузер, обычно не запускается как «root». Для безопасности есть частный режим просмотра, https и, конечно, брандмауэры и брандмауэры веб-браузера (сверху), чтобы не забыть о мощном очистителе BleachBit.

Что касается отсутствия обновлений, по моему опыту, MSW постоянно обновляется / исправляется, но, по-видимому, является наименее защищенной системой из всех; Роллинг-релизы Linuxen, с их постоянными исправлениями, ломаются в течение недели или около того; LTS Linuxen с относительно небольшим количеством обновлений, «просто работа»; так что относительное отсутствие обновлений в Puppy (в зависимости от версии) может быть ложной проблемой, которая серьезно беспокоила меня, пока я не узнал немного больше.

Важной функцией безопасности Puppy является то, что (при «скромной» установке, которая является предпочтительной / рекомендуемой), каждый сеанс может быть либо сохранен, либо нет, либо в стандартном, либо в уникальном файле, поэтому можно запускать «индивидуальные» сеансы для определенных целей, требующих выхода / входа, чтобы вернуться к «нормальному» использованию. Ограниченные учетные записи пользователей также могут быть добавлены для определенных целей. Учитывая, что скромная установка - это «живая» система, Puppy может быть более безопасным, чем «обычный» Linuxen, если используется правильно.

Ссылки:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Наконец, никогда не присоединяйтесь к форуму, который требует регистрации, всегда используйте адрес электронной почты «призрак».

Как уже говорилось, Puppy использует другую модель безопасности (или другую парадигму, если вы предпочитаете) и должна оцениваться на основе опыта в реальном мире. Мой опыт можно подытожить следующим образом:

• Debian: взломанный, с приложениями, звонящими домой.
• Slackware: взломан.
• Арка: никогда не оставался стабильным достаточно долго, чтобы его взломали.
• Windows XP: я удаляю драйвер Ethernet после его регистрации в Microsoft. 'Достаточно.
• OpenBSD: взломан. Да, я знаю.
• DragonFlyBSD: никогда не проникает, если он вообще работает.
• FreeBSD: Пока все хорошо. Используя ПФ. Используется менее 8 месяцев.
• Щенок: в 6 лет ни разу не взломан. Никогда . Это мой основной дистрибутив, когда мне нужна простота и надежность.

Повторим еще раз: Puppy использует другую модель, которую многие считают надежной. Сравнивая его с традиционным Unix, Windows или ______ сравнивает яблоки с апельсинами.

Я был только в Linux с 2000 года и никогда не имел внешнего вируса. Я заразился один раз, когда использовал старый жесткий диск Windows для перемещения некоторых файлов. Я побежал Clamtkl, чтобы очистить все это.

Я был на Puppylinux уже несколько лет. У меня до сих пор нет проблем с вирусами любого рода. Люди из Windows почесывают голову, как «Как это возможно?»

Для меня это похоже на то, как водитель машины спрашивает байкера: «Как ты можешь ехать только с двумя колесами?»

Puppy использует dbus только для управления сессиями. Так что ничего не распространяется, как Active-x.

Я использую почтовый клиент Sylpheed, который представляет собой простой текст.

Я использую старую Opera с большинством отключенных вещей. Я включаю JS просто для публикации, как я делаю сейчас.

Так как я загружаюсь с компакт-диска, каждый раз все начинается заново. На моих жестких дисках нет операционных систем.

Когда я загружаюсь, я могу htop и считать около 15 процессов. И я знаю их всех. Как корень, ничего не скрыто от моих глаз.

Я несколько лет занимался техподдержкой коммерческих сайтов, поэтому я не типичный пользователь компьютера.

Windows пытается ограничить параметры загрузки, шифрует жесткие диски, шифрует или хэширует программы, всегда применяя исправления безопасности ПОСЛЕ заражения. И все же они продолжают использовать Active-x и эквивалентные механизмы для распространения своих микробов.

Люди хотят нажать на веб-ссылку, которая открывает электронную таблицу и все такое. И люди настаивают на том, чтобы сохранять пароли в своих браузерах, потому что это удобнее.

Многие пользователи Windows имеют невероятно сложные входы в систему, и они не могут понять, почему они все еще получают вирусы. Это потому, что остальная часть машины - широко открытая дверь.

Это как потребители наркотиков, у которых есть «чистые» иглы, которыми они делятся со своими приятелями.

Я надеюсь, что это поможет прояснить некоторые недоразумения относительно безопасности и «щенячьего пути».

Я действительно думал об одной ситуации, в которой что-то вроде Puppy Linux было бы довольно безопасно (или я так думаю - я приветствую комментарии). Если вы запускаете его с Live CD в системе без подключаемых устройств хранения (что означает отсутствие жесткого диска) в системе (или, по крайней мере, не той, которую вы когда-либо использовали), даже если вы посещаете веб-сайт, который использует какую-то дыру в непропатченном браузере, при следующей перезагрузке ваша система будет чистой. * Конечно, между временем Когда вы посещали такой веб-сайт и перезагружались, там мог быть какой-то кейлоггер, перехватывающий любые введенные вами пароли, поэтому вам следует быть осторожным, возможно, только посещая веб-сайты, добавленные в закладки, если вы не планируете входить в систему где-либо. Вы можете сохранить файлы на USB-накопителе,

* Я читал о вирусах (хотя, к счастью, они должны быть редкими), которые могут заразить ваш BIOS или какую-либо другую часть прошивки, и если это произойдет, перезагрузка не поможет.

sml спросил: "Кроме того, вы можете предоставить ссылку на полицию, которая рекомендует Puppy?"

Возможно, это поможет: детектив-инспектор Брюс ван дер Грааф из отдела по расследованию компьютерных преступлений полиции Нового Южного Уэльса при даче показаний от имени правительства Нового Южного Уэльса на открытом слушании дела о киберпреступности специально рекомендовал Puppy Linux в качестве одного из из основных методов безопасного проведения коммерческих транзакций в Интернете, таких как онлайн-банкинг.

Для получения дополнительной информации см .: http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

И, кстати, никто из тех, кто участвовал в создании Puppy Linux, не считает его «игрушечным дистрибутивом».

Я никогда не слышал о том, чтобы Puppy Linux был скомпрометирован за 6 лет использования в качестве скромной установки. Я полагаю, что это потому, что Puppy работает с выключенным большинством сервисов (попробуйте использовать сайт веб-безопасности, такой как Shields Up. Я провел обширное тестирование безопасности в рамках своей работы в качестве преподавателя Linux и обнаружил, что Puppy более безопасен, чем Ubuntu, даже в root из-за вышеуказанных причин обслуживания. Конечно, если вы запускаете puppy в качестве ремастера в качестве живого компакт-диска с добавленным браузером, это очень безопасно (без жесткого диска, подключенного в Интернете). Это метод, рекомендованный полицией силы по всему миру для полностью безопасной системы.