После двух лет разработки доступен (https://subgraph.com/sgos/download/index.en.html) первый альфа-выпуск проект Subgraph OS (https://subgraph.com/sgos/index.en.html), в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Для загрузки доступен iso-образ (https://subgraph.com/sgos/download/index.en.html) размером 1.5 Гб.При этом разработчики не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе, и пытаются предоставить максимально простое и удобное для конечных пользователей решение. В качестве базового графического окружения предлагается GNOME 3. В качестве почтового клиента предлагается Subgraph Mail (https://subgraph.com/sgos/secure-communication/index.en.html), написанный с нуля с оглядкой на предоставление встроенной поддержки безопасных коммуникаций, идентификации отправителя и проверки сообщений по цифровой подписи (используется встроенная реализация OpenPGP). В качестве браузера применяется Tor Browser. Для мгновенного обмена сообщениями используется CoyIM (https://coy.im/) c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).
<center>
<video width="720" height="406" controls>
<source src="https://support.subgraph.com/videos/oz_evince_01.webm" type="video/webm">
</video>
</center>
Все сетевые запросы приложений по умолчанию перехватываютя компонентом Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети осуществляется на основе белого списка, в который включены приложения, которым разрешена сетевая активность по определённым сетевым портам. Трафик разных приложений отправляется через разные цепочки узлов Tor. При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, через задействование динамического межсетевого экрана пользователю выводится диалог с предложением подтвердить или отклонить операцию.
Для изоляции приложений применяется технология sandbox-контейнеров oz (https://github.com/subgraph/oz), в которой для изоляции применяются (https://github.com/subgraph/oz/wiki/Oz-Technical-Details) пространства имён, Seccomp filter, Capabilities и прослойка Xpra (https://xpra.org/), изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, рабочему столу (открыт доступ только в своё окно), другим процессам, системным вызовам, полностью контролируются обращения по сети.<center><img src="https://www.opennet.me/opennews/pics_base/0_1457868681.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>
Ядро Linux собрано с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Компоненты дистрибутива написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. В качестве основы используется пакетная база Debian GNU/Linux. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий повторяемость сборок (пересборка пользователем приведёт к формированию полностью совпадающих исполняемых файлов).По сравнению с системой Qubes, использующей полноценные механизмы виртуализации для изоляции разных типов приложений, применение контейнеров позволило значительно снизить требования к имеющимся ресурсам, для работы Subgraph требуется 64-разрядный CPU Core2Duo (или новее), 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб места на диске. При этом, в Twitter (@rootkovska (https://twitter.com/rootkovska), @attractr (https://twitter.com/attractr), @subgraph (https://twitter.com/subgraph)) и списке рассылки (https://secure-os.org/pipermail/desktops/) ведутся переговоры о сотрудничестве проектов Subgraph OS и Qubes, в рамках которого для Qubes в ближайшее время может быть подготовлен образ VM с Subgraph.
<center><a href="https://subgraph.com/sgos/graph/index.en.html"><img src="https://www.opennet.me/opennews/pics_base/0_1457864984.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: https://subgraph.com/sgos/download/index.en.html
Новость: http://www.opennet.me/opennews/art.shtml?num=44035
>платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерахшо, опять?
Конкуренция не помешает. Пусть будет.
А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть каждой программе по своему IP и Tor, не говоря уж о правилах файрвола.Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если вы их все в контейнер перекинете.
> А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть
> каждой программе по своему IP и Tor, не говоря уж о
> правилах файрвола.
> Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если
> вы их все в контейнер перекинете.systemd-nspawn? ;)
А как вы об'едините картинку от разных контайнеров на общем десктопе?
Нынче это прибыльно. Школота из года в год тупее и тупее.
Вишь, даже кэртинкэ нарисовали насколько все крутэ :)
> Вишь, даже кэртинкэ нарисовали насколько все крутэ :)Пиксель-арт?
http://www.listoid.com/image/100/list_59_100_20101124_090212...
http://fool.deviantart.com/art/iso-castle-75849130
http://www.listoid.com/image/100/list_3_100_20101124_125700_...
https://retroarcadememories.files.wordpress.com/2014/10/marb...Не, не слышал …
Так а может есть какая тулза чтобы в пиксельарте рисовать схемы?
>пытаются предоставить максимально простое и удобное ... решение.
>графическое окружение основано на GNOME 3.Взаимоисключающие параграфы?
Они хотели сказать - Максимально примитивное, и удобное с точки зрения его разработки решение.
>Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакамИдея хорошая, только использование Тор не вяжется с этой концепцией. Тор можно использовать только в качестве анонимайзера и к безопасности не имеет никакого отношения, скорее наоборот ведь на выходе все пароли от почты и интернет-банкинга угоняются.
>ведь на выходе все пароли от почты и интернет-банкинга угоняются.почта и банкинг без https?
Вот-вот, никогда не понимал этого аргумента.
>>ведь на выходе все пароли от почты и интернет-банкинга угоняются.
> почта и банкинг без https?MITM
mitm без подмены сертификата? да Вы, батенька, фантазер :)
Так CA много разных, а оплошать достаточно одному.
> Так CA много разных, а оплошать достаточно одному.тогда при чем тут Tor?
> тогда при чем тут Tor?Сам по себе - не при чем. Но за exit nodes нужен глаз да глаз. Поэтому в ответственных случаях стоит проверять что за сертификат подсунули.
> mitm без подмены сертификата? да Вы, батенька, фантазер :)mitmproxy генерирует подложный сертификат.
>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
> mitmproxy генерирует подложный сертификат.и что? браузер пропускает без вопросов?
>>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
>> mitmproxy генерирует подложный сертификат.
> и что? браузер пропускает без вопросов?Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy, тогда браузер будет молчать как рыба.
> Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy, тогда
> браузер будет молчать как рыба.Оригинально и весьма ловко!
Стесняюсь спросить, а не проще ли, учитывая обычные места хранения сертификатов, типа /etc/ssl/certs, сразу поставить клиенту трояна? Заодно и бикоины помайнить можно.
>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
> mitmproxy генерирует подложный сертификат.Сгенерируйте-ка пожалуйста для начала подложный сертификат для опеннета.
https://www.opennet.me/opennews/art.shtml?num=35754
https://www.opennet.me/opennews/art.shtml?num=38613Пара примеров из недавнего. Поздравляю с обосрамс.
> https://www.opennet.me/opennews/art.shtml?num=35754
> https://www.opennet.me/opennews/art.shtml?num=38613Ну, если вы доверяете TurkTrust и французкой недо-АНБ, не слышали о пиннинге и о том, что корневые сертификаты от СА вообще не обязательны (да тот же … ну дык, кто же вам тогда Злобный Буратино?
> Пара примеров из недавнего. Поздравляю с обосрамс.
Все еще с нетерпением жду подложный сертификат для опеннета! Я надеюсь на вас!
как так угоняются? куда?
> как так угоняются? куда?Когда твой трафик проходит через выходной узел владелец этого компьютера может его перехватывать и при наличии определенных возможностей скомпрометировать.
что он перехватит? и почему этого не сделает один из промежуточных узлов или узел входа?
> что он перехватит? и почему этого не сделает один из промежуточных узлов
> или узел входа?Выходной узел выпускает траффик в обычный интернет, снимая последний слой шифрования. Если протокол интернета не использовал шифрование, выходной узел может читать то что передавалось. Промежуточные не могут: шифрование tor мешает. Этой проблемы нет в случае hidden service, когда траффик не покидает сеть tor.
> что он перехватит? и почему этого не сделает один из промежуточных узлов
> или узел входа?логины, пароли и многое другое. Внутренняя сеть тор зашифрована поэтому только на выходе в интернет можно перехватить трафик.
>не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе,
>графическое окружение основано на GNOME 3.угу угу
> качестве основы используется пакетная база Debian GNU/Linux.Exim есть? :)
Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть только те процессы, которым я лично разрешил...
> Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть
> только те процессы, которым я лично разрешил...man apparmor
или жди дальше...
лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес могёт
> лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес
> могётИ selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться от него блокировки доступа конкретного приложения в Интернет мне так и не удалось.
Голый иптаблес давно уже не могёт. Мог, кажется, в ядре 2.4.
> И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться
> от него блокировки доступа конкретного приложения в Интернет мне так и
> не удалось.Ведузятник должен страдать.
Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная гуёвина) и разрешил её всё кроме доступа в сеть. И таки она вообще перестала запускаться. Как ни крутил, в терминале ругается на переменную $DISPLAY, кажется. Если просто вырубить сеть физически - работает норм, под виндой она же если заблокировать фаерволом (коих там, благо, множество - в этом огромный плюс винды) тоже прекрасно пашет.
> Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная
> гуёвина) и разрешил её всё кроме доступа в сеть. И таки
> она вообще перестала запускаться.Ведузоед должен страдать.
Gentoo / LFS уже есть добрый десяток лет. Жди дальше.
как два байта об асфальт - rm -f /usr/bin/bad_binarnik
У меня torbrowser с policeman работает, а тут вообще вся система по такому принципу работает.
Интересно :)
Firewalld умеет.
На Винде сиди, там есть начиная с Висты брандмауэр в режиме повышенной безопасности, который может все исходящие соединения зарубить, а потом разрежи только те программы, которым нужен по твоему мнению доступ в сеть.
А есть ещё AppLock, которым можно запретить запускать все приложения-экзешники, кроме разрешённых. Если эти обе эти две вещи настроить, то можно антивирусы отключить и жить спокойно, пока жёсткий диск не откажет :)
Ну вот! Кто как не pussy.exe'шник поможе барту-вендузоеду?!
Жду новый торЪ, сказали же скоро будет со хорошо стоячим крипто и хитронодами)))
