URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 86278
[ Назад ]

Исходное сообщение
"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"

Отправлено opennews , 03-Сен-12 00:13 
Увидел свет (http://forum.dee.su/#Topic/65650000000212097) LiveUSB-дистрибутив Liberté Linux 2012.3 (http://dee.su/liberte), построенный на основе Gentoo Linux (Hardened (http://www.gentoo.org/proj/en/hardened/)), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в один клик устанавливается на  USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor (http://ru.wikipedia.org/wiki/Tor). Размер загрузочного образа (http://downloads.sourceforge.net/liberte/liberte-2012.3.iso) 213 Мб.


Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE. Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий.  Все приложения сконфигурированы и готовы к использованию; Дистрибутив достаточно легко (http://dee.su/liberte-build) переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ.


Особенности организации работы дистрибутива:


-  Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened (http://www.gentoo.org/proj/en/hardened/), который включает  такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;


-  Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;


-  Максимально урезаны передаваемые по DHCP параметры, блокируется  передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;

-  Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);


-  Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.


-  Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;

-  Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки (http://www.opennet.me/opennews/art.shtml?num=17035).

Изменения в новой версии:


-  Обновление ядра Linux до версии  3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
-  Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
-  Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon  задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
-  Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима  (перенаправление всего трафика через Tor)'
-  В состав включена утилита reaver-wps для проверки (http://www.opennet.me/opennews/art.shtml?num=32696) безопасности WiFi сетей;
-  В GnuPG добавлена поддержка PKCS#11;
-  Проведена унификция визуальных тем для GTK-2 и GTK-3.


URL: http://forum.dee.su/#Topic/65650000000212097
Новость: http://www.opennet.me/opennews/art.shtml?num=34724


Содержание

Сообщения в этом обсуждении
"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 00:13 
> First Linux distribution released with UEFI Secure Boot-based trusted boot sequence.

А вы "Fedora, Ubuntu..."


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Vascom , 03-Сен-12 11:20 
В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Рыба , 03-Сен-12 16:30 
Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
Не лучше ли самому определять кому твоё же оборудование будет доверять?

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено loglog , 03-Сен-12 23:24 
>В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.
>>Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
>>Не лучше ли самому определять кому твоё же оборудование будет доверять?

Им не понять. Проще громче кричать. Микрософт это наше все! )) И производители тоже не будут заморачиваться на "ключах потребителя"... Китайские планшеты вон не имеют AndroidID (точнее имеют пару на всех)


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 00:40 
>Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;

Вообще-то, dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables и от правил для 67 портов ему ни горячо, ни холодно.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено ABATAPA , 03-Сен-12 08:00 
Бред.

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Анонимец , 03-Сен-12 08:35 
Не совсем так. iptables работает только с IP пакетами, в то время как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую IP стэк.

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 05-Сен-12 18:53 
> Не совсем так. iptables работает только с IP пакетами, в то время
> как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую
> IP стэк.

Попробуйте зафильтровать порты 67/68 UDP и расскажите как понравился результат :)


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 06-Сен-12 22:49 
Зафильтровано и работает. Дальше что?

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено anonymous , 03-Сен-12 11:50 
> Бред.

Попробуйте зафильтровать dhcp и удивитесь. raw-сокеты iptables'ом не фильтруются.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено bircoph , 03-Сен-12 12:03 
А почему у меня фильтруются?

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 14:47 
> А почему у меня фильтруются?

Потому что вы где-то слажали и что-то перепутали.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Andrey Mitrofanov , 03-Сен-12 22:32 
> Потому что вы где-то слажали и что-то перепутали.

Наши на болоте "аплодируют стоя"тм. Достойная смена ростет.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 23:33 
> А почему у меня фильтруются?

Счетчики в iptables, небось, смотрите? Известная ошибка людей, считающих, что то, что было вычитано с raw sockets не пойдет на верхние уровни.
Да, до iptables пакеты дойдут и он может их даже заблокировать, да только поздно, ибо dhcp-клиент/сервер уже успели считать/послать их уровнем ниже. Потому-то подобные правила фаервола и бесполезны в Liberte Linux.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Andrey Mitrofanov , 04-Сен-12 21:58 
> Бред.

Зато сколько брызг!>


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено oxyum , 03-Сен-12 14:37 
man ebtables

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 14:42 
И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов в iptables?

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Andrey Mitrofanov , 03-Сен-12 22:33 
> И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов
> в iptables?

Не останавливайся! Надеюсь, для росоктов и сетевая карта не нужна?!


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 04-Сен-12 07:53 
откуда вы лезете? заткните кто-нибудь эту адскую дыру

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 23:23 
А где речь про ebtables шла? Суть-то в том, что в обсуждаемом дистрибутиве без необходимости дырявятся порты через iptables.

4All:
И вот еще вам, фомам неверующим, ссыль "на почитать"
http://www.mail-archive.com/netfilter@lists.samba.org/m...


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Andrey Mitrofanov , 04-Сен-12 21:57 
> 4All:
> И вот еще вам, фомам неверующим, ссыль "на почитать"
>/www.mail-archive.com/netfilter@lists.samba.org/msg03907.html

Слюшь, все виденные мною клиенты dhcp успешно фильтровались нетфильтром. Если у вас там, в 2002-ом всё по-другому -- запишись в группу анонимных разкриокамерленных и не морочь людям голову. (и селёдку купи, да)


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 17:29 
>dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables

С каких это пор?


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 03-Сен-12 23:37 
>>dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables
> С каких это пор?

С тех самых, когда dhcp-софт стал использовать raw-сокеты (считайте, что с самого начала).
Сами подумайте, как можно работать с IP (и уж тем более с UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено anonymous , 05-Сен-12 16:42 
> Сами подумайте, как можно работать с IP (и уж тем более с
> UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми
> сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.

Можно работать и работает же. Интерфейс есть, нет IP-адреса. Ну так и запрос уходит с обратным адресом 0.0.0.0 (то есть отсутствующим) на адрес 255.255.255.255 (то есть броадкаст).


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 06-Сен-12 19:50 
>> Сами подумайте, как можно работать с IP (и уж тем более с
>> UDP), не имея настроенного интерфейса? Потому и приходится изворачиваться с сырыми
>> сокетами, реализуя необходимую поддержку протоколов вышестоящих уровней самим.
> Можно работать и работает же. Интерфейс есть, нет IP-адреса. Ну так и
> запрос уходит с обратным адресом 0.0.0.0 (то есть отсутствующим) на адрес
> 255.255.255.255 (то есть броадкаст).

Ты не сможешь через AF_INET-сокет отправить ни одного пакета, если у тебя нет адреса на интерфейсе. Можно в таком случае заюзать лишь AF_PACKET, но в таком случае пакет пойдет мимо iptables. То же самое и с приемом пакетов.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 05-Сен-12 19:02 
> Сами подумайте, как можно работать с IP (и уж тем более с
> UDP), не имея настроенного интерфейса?

Вот так вот и работает - рассылая пакеты броадкастом. Ну что за люди, ман на протокол уже почитать ломаются до того как свои левые измышлизмы втирать.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено saNdro , 05-Сен-12 21:02 
да что ман на протокол. они похоже про броадкаст не знают. а это парой "уровней пониже" знания прикладного протокола.

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 06-Сен-12 19:46 
> да что ман на протокол. они похоже про броадкаст не знают. а
> это парой "уровней пониже" знания прикладного протокола.

Код оправляющий broadcast-пакет через AF_INET/SOCK_DGRAM сокет с определенного несконфигурированного интерфейса в студию.
Подсказка: это невозможно.


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено anonymous , 05-Сен-12 16:36 
> Вообще-то, dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables и от
> правил для 67 портов ему ни горячо, ни холодно.

Не ну бред же. Читаем RFC 2131 (http://tools.ietf.org/html/rfc2131):
DHCP uses UDP as its transport protocol.  DHCP messages from a client
   to a server are sent to the 'DHCP server' port (67), and DHCP
   messages from a server to a client are sent to the 'DHCP client' port
   (68).


"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Аноним , 06-Сен-12 19:33 
DHCP-софт использует свою реализацию IP и UDP поверх raw sockets, не полагаясь на системные.

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Aktis , 03-Сен-12 01:39 
Дистрибутив профессионального революционера ;)

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Fyjybv , 20-Сен-12 10:42 
Настоящего - Whonix
https://github.com/adrelanos/Whonix

"Новая версия защищенного Live-дистрибутива Liberte Linux 201..."
Отправлено Анонимъ , 03-Сен-12 09:58 
А если в сети нету ТОЯ?

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено 1q2w3e , 03-Сен-12 11:09 
Параноики ликуют!

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Аноним , 03-Сен-12 14:09 
>Параноики ликуют!

И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.


"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Прохожий , 03-Сен-12 21:39 
WOT не одобряет :(

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Аноним , 03-Сен-12 23:06 
>WOT не одобряет :(

Надобно смотреть, щито конкретно там не одобряется.

mywot.com/ru/scorecard/14prog.ru

>As per today 14prog.ru is detected as a spam sending domain or is missused as a spam server.

Это конечно несерьёзно, хотя проверимся

virustotal.com/url/9822caa6350b84b32d7fdfab70ed5dab208e61a36609b3e6ae19502ea9523c0b/analysis/


"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Аноним , 05-Сен-12 19:04 
> И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.

Особенно иронично выглялит сайт с aspx :)


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено влад , 03-Сен-12 14:01 
tor, это тот, который подозревается в том, что у него спецслужбы на выходных узлах?

только выделенный сервер и шифрованный канал до него помогут.


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено Аноним , 03-Сен-12 14:16 
> tor, это тот, который подозревается в том, что у него спецслужбы на
> выходных узлах?

Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла? Но необходимости в оконечном шифровании Тор конечно не отменяет, это да...


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено анноним , 03-Сен-12 16:26 
Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла?

... произвольно выбираемых из числа все тех же меченых.


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено Аноним , 03-Сен-12 18:56 
>произвольно выбираемых из числа все тех же меченых

Такой мутации этого слуха еще не встречал ) Хотя, может статься в скором будущем и такое приблизится к реальности, если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма и в.т.прочего...


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено анноним , 03-Сен-12 22:25 
>>произвольно выбираемых из числа все тех же меченых
> Такой мутации этого слуха еще не встречал )

Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов. Скорее, большая их часть поддерживается централизовано. Тем более, что сегодня - это просто смешные деньги.


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено anonymous , 03-Сен-12 23:20 
>Скорее, большая их часть поддерживается централизовано.

Для того, чтобы в сети tor однозначно идентифицировать получателя все хосты в цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.

>вызывает сомнение реальное количество релеев на серверах энтузиастов

Ну, повысте его. Запустите у себя транзитный сервер ;)


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено анноним , 04-Сен-12 13:42 
> все хосты в
> цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.

Один-два можно вытряхнуть совсем другими методами. Ну это, если правда залезет парочка настоящих. %)

>>вызывает сомнение реальное количество релеев на серверах энтузиастов
> Ну, повысте его. Запустите у себя транзитный сервер ;)

Специально отключил. :D



"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено Аноним , 08-Сен-12 11:53 
>Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов.

Думаете, что из приблизительно 10 млрд тел не могло найтись каких-то трех тысяч желающих поднять у себя публичную ноду? На мой взгляд их и так исчезающе мало...


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено Аноним , 08-Сен-12 12:02 
Кстати, и расширение сети по характеру вполне себе эволюционно
https://metrics.torproject.org/network.html?graph=networksiz...

"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено Аноз , 05-Сен-12 12:38 
>> если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма

А что/кто им помешает?


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено Аноним , 05-Сен-12 19:38 
- Совесть - И в этот момент раздался гомерический хохот на галерке.

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Аноним , 03-Сен-12 17:27 
А чем подписаны, то? Ключом Microsoft? Или своим, который надо будет ещё в материнку вбивать?

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено VldK , 04-Сен-12 09:37 
Не читатель?
"Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию."

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Аноним , 05-Сен-12 19:06 
> в материнку вбивать?

Да, кувалдометром вколачивать. Извините, не удержался :)


"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Клим , 03-Сен-12 19:07 
да какой же это Liberte, если UEFI?

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Andrey Mitrofanov , 03-Сен-12 22:37 
> да какой же это Liberte, если UEFI?

там же написано "защищенного" !! сам балмер защищат!!1


"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено ызусефещк , 04-Сен-12 19:08 
А на биосе либерте?

"Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой ..."
Отправлено Аноним , 05-Сен-12 19:06 
> да какой же это Liberte, если UEFI?

Вот такое вот хреновое лето (с) анекдот.


"Новая версия защищенного Live-дистрибутива Liberte Linux 2012.3"
Отправлено tux2002 , 08-Сен-12 17:13 
Всё, нафиг, головная боль...
Дайте мне переключатель ro на диск и больше мне ничего не надо!