Увидел свет (http://forum.dee.su/#Topic/65650000000212097) LiveUSB-дистрибутив Liberté Linux 2012.3 (http://dee.su/liberte), построенный на основе Gentoo Linux (Hardened (http://www.gentoo.org/proj/en/hardened/)), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в один клик устанавливается на USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor (http://ru.wikipedia.org/wiki/Tor). Размер загрузочного образа (http://downloads.sourceforge.net/liberte/liberte-2012.3.iso) 213 Мб.
Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE. Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий. Все приложения сконфигурированы и готовы к использованию; Дистрибутив достаточно легко (http://dee.su/liberte-build) переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ.
Особенности организации работы дистрибутива:
- Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened (http://www.gentoo.org/proj/en/hardened/), который включает такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;
- Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;
- Максимально урезаны передаваемые по DHCP параметры, блокируется передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;- Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);
- Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.
- Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;- Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки (http://www.opennet.me/opennews/art.shtml?num=17035).
Изменения в новой версии:
- Обновление ядра Linux до версии 3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
- Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
- Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
- Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима (перенаправление всего трафика через Tor)'
- В состав включена утилита reaver-wps для проверки (http://www.opennet.me/opennews/art.shtml?num=32696) безопасности WiFi сетей;
- В GnuPG добавлена поддержка PKCS#11;
- Проведена унификция визуальных тем для GTK-2 и GTK-3.
URL: http://forum.dee.su/#Topic/65650000000212097
Новость: http://www.opennet.me/opennews/art.shtml?num=34724
> First Linux distribution released with UEFI Secure Boot-based trusted boot sequence.А вы "Fedora, Ubuntu..."
В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.
Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
Не лучше ли самому определять кому твоё же оборудование будет доверять?
>В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.
>>Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
>>Не лучше ли самому определять кому твоё же оборудование будет доверять?Им не понять. Проще громче кричать. Микрософт это наше все! )) И производители тоже не будут заморачиваться на "ключах потребителя"... Китайские планшеты вон не имеют AndroidID (точнее имеют пару на всех)
>Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;Вообще-то, dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables и от правил для 67 портов ему ни горячо, ни холодно.
Бред.
Не совсем так. iptables работает только с IP пакетами, в то время как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую IP стэк.
> Не совсем так. iptables работает только с IP пакетами, в то время
> как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую
> IP стэк.Попробуйте зафильтровать порты 67/68 UDP и расскажите как понравился результат :)
Зафильтровано и работает. Дальше что?
> Бред.Попробуйте зафильтровать dhcp и удивитесь. raw-сокеты iptables'ом не фильтруются.
А почему у меня фильтруются?
> А почему у меня фильтруются?Потому что вы где-то слажали и что-то перепутали.
> Потому что вы где-то слажали и что-то перепутали.Наши на болоте "аплодируют стоя"тм. Достойная смена ростет.
> А почему у меня фильтруются?Счетчики в iptables, небось, смотрите? Известная ошибка людей, считающих, что то, что было вычитано с raw sockets не пойдет на верхние уровни.
Да, до iptables пакеты дойдут и он может их даже заблокировать, да только поздно, ибо dhcp-клиент/сервер уже успели считать/послать их уровнем ниже. Потому-то подобные правила фаервола и бесполезны в Liberte Linux.
> Бред.Зато сколько брызг!>
man ebtables
И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов в iptables?
> И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов
> в iptables?Не останавливайся! Надеюсь, для росоктов и сетевая карта не нужна?!
откуда вы лезете? заткните кто-нибудь эту адскую дыру
А где речь про ebtables шла? Суть-то в том, что в обсуждаемом дистрибутиве без необходимости дырявятся порты через iptables.4All:
И вот еще вам, фомам неверующим, ссыль "на почитать"
http://www.mail-archive.com/netfilter@lists.samba.org/m...
> 4All:
> И вот еще вам, фомам неверующим, ссыль "на почитать"
>/www.mail-archive.com/netfilter@lists.samba.org/msg03907.htmlСлюшь, все виденные мною клиенты dhcp успешно фильтровались нетфильтром. Если у вас там, в 2002-ом всё по-другому -- запишись в группу анонимных разкриокамерленных и не морочь людям голову. (и селёдку купи, да)
>dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptablesС каких это пор?
>>dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables
> С каких это пор?С тех самых, когда dhcp-софт стал использовать raw-сокеты (считайте, что с самого начала).
Сами подумайте, как можно работать с IP (и уж тем более с UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.
> Сами подумайте, как можно работать с IP (и уж тем более с
> UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми
> сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.Можно работать и работает же. Интерфейс есть, нет IP-адреса. Ну так и запрос уходит с обратным адресом 0.0.0.0 (то есть отсутствующим) на адрес 255.255.255.255 (то есть броадкаст).
>> Сами подумайте, как можно работать с IP (и уж тем более с
>> UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми
>> сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.
> Можно работать и работает же. Интерфейс есть, нет IP-адреса. Ну так и
> запрос уходит с обратным адресом 0.0.0.0 (то есть отсутствующим) на адрес
> 255.255.255.255 (то есть броадкаст).Ты не сможешь через AF_INET-сокет отправить ни одного пакета, если у тебя нет адреса на интерфейсе. Можно в таком случае заюзать лишь AF_PACKET, но в таком случае пакет пойдет мимо iptables. То же самое и с приемом пакетов.
> Сами подумайте, как можно работать с IP (и уж тем более с
> UDP), не имея настроенного интерфейса?Вот так вот и работает - рассылая пакеты броадкастом. Ну что за люди, ман на протокол уже почитать ломаются до того как свои левые измышлизмы втирать.
да что ман на протокол. они похоже про броадкаст не знают. а это парой "уровней пониже" знания прикладного протокола.
> да что ман на протокол. они похоже про броадкаст не знают. а
> это парой "уровней пониже" знания прикладного протокола.Код оправляющий broadcast-пакет через AF_INET/SOCK_DGRAM сокет с определенного несконфигурированного интерфейса в студию.
Подсказка: это невозможно.
> Вообще-то, dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables и от
> правил для 67 портов ему ни горячо, ни холодно.Не ну бред же. Читаем RFC 2131 (http://tools.ietf.org/html/rfc2131):
DHCP uses UDP as its transport protocol. DHCP messages from a client
to a server are sent to the 'DHCP server' port (67), and DHCP
messages from a server to a client are sent to the 'DHCP client' port
(68).
DHCP-софт использует свою реализацию IP и UDP поверх raw sockets, не полагаясь на системные.
Дистрибутив профессионального революционера ;)
Настоящего - Whonix
https://github.com/adrelanos/Whonix
А если в сети нету ТОЯ?
Параноики ликуют!
>Параноики ликуют!И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.
WOT не одобряет :(
>WOT не одобряет :(Надобно смотреть, щито конкретно там не одобряется.
mywot.com/ru/scorecard/14prog.ru
>As per today 14prog.ru is detected as a spam sending domain or is missused as a spam server.
Это конечно несерьёзно, хотя проверимся
virustotal.com/url/9822caa6350b84b32d7fdfab70ed5dab208e61a36609b3e6ae19502ea9523c0b/analysis/
> И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.Особенно иронично выглялит сайт с aspx :)
tor, это тот, который подозревается в том, что у него спецслужбы на выходных узлах?только выделенный сервер и шифрованный канал до него помогут.
> tor, это тот, который подозревается в том, что у него спецслужбы на
> выходных узлах?Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла? Но необходимости в оконечном шифровании Тор конечно не отменяет, это да...
Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла?... произвольно выбираемых из числа все тех же меченых.
>произвольно выбираемых из числа все тех же меченыхТакой мутации этого слуха еще не встречал ) Хотя, может статься в скором будущем и такое приблизится к реальности, если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма и в.т.прочего...
>>произвольно выбираемых из числа все тех же меченых
> Такой мутации этого слуха еще не встречал )Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов. Скорее, большая их часть поддерживается централизовано. Тем более, что сегодня - это просто смешные деньги.
>Скорее, большая их часть поддерживается централизовано.Для того, чтобы в сети tor однозначно идентифицировать получателя все хосты в цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.
>вызывает сомнение реальное количество релеев на серверах энтузиастов
Ну, повысте его. Запустите у себя транзитный сервер ;)
> все хосты в
> цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.Один-два можно вытряхнуть совсем другими методами. Ну это, если правда залезет парочка настоящих. %)
>>вызывает сомнение реальное количество релеев на серверах энтузиастов
> Ну, повысте его. Запустите у себя транзитный сервер ;)Специально отключил. :D
>Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов.Думаете, что из приблизительно 10 млрд тел не могло найтись каких-то трех тысяч желающих поднять у себя публичную ноду? На мой взгляд их и так исчезающе мало...
Кстати, и расширение сети по характеру вполне себе эволюционно
https://metrics.torproject.org/network.html?graph=networksiz...
>> если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризмаА что/кто им помешает?
- Совесть - И в этот момент раздался гомерический хохот на галерке.
А чем подписаны, то? Ключом Microsoft? Или своим, который надо будет ещё в материнку вбивать?
Не читатель?
"Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию."
> в материнку вбивать?Да, кувалдометром вколачивать. Извините, не удержался :)
да какой же это Liberte, если UEFI?
> да какой же это Liberte, если UEFI?там же написано "защищенного" !! сам балмер защищат!!1
А на биосе либерте?
> да какой же это Liberte, если UEFI?Вот такое вот хреновое лето (с) анекдот.
Всё, нафиг, головная боль...
Дайте мне переключатель ro на диск и больше мне ничего не надо!