Czy Debian to złoty standard bezpieczeństwa Linuksa?

Czy Debian to złoty standard bezpieczeństwa Linuksa?

Bezpieczeństwo jest ważnym priorytetem dla wszystkich użytkowników, nawet tych, którzy używają Linuksa jako preferowanego systemu operacyjnego. Jeden redditor zastanawiał się w niedawnym wątku dyskusyjnym, czy Debian powinien być uważany za złoty standard bezpieczeństwa Linuksa.

ZombieWithLasers rozpoczął dyskusję od następujących obserwacji i pytań:

Zauważyłem, że Debian często pojawia się, gdy mówimy o bezpieczeństwie w systemie Linux. Wydaje się, że jest to dystrybucja, do której należy, gdy ktoś mówi o bezpieczeństwie i prywatności. Wiele dystrybucji skupionych na białym kapeluszu i bezpieczeństwie używa go jako swojej bazy, w tym Kali i Tails. EFF rekomendował go przy kilku okazjach, a nawet podziękował mu w napisach „Citizen Four”. Czy naprawdę jest o wiele bezpieczniejszy niż inne dystrybucje?

Rozumiem, że istnieją obawy dotyczące dystrybucji korporacyjnych, takich jak RHEL, SUSE i Ubuntu, nawet jeśli nie są one uzasadnione. Społeczność open source / FLOSS zawsze miała pewną nieufność do korporacji. A co z dystrybucjami takimi jak Arch, Gentoo i Slackware? Arch jest nawet członkiem tej samej organizacji non-profit, co Debian.

Istnieją również inne kwestie, takie jak GRSecurity i Systemd. W przypadku większości kont GRSecurity jest lepszy niż SELinux, ale tak naprawdę jest oferowany tylko przez Gentoo i Arch w ich głównych repozytoriach. Dlaczego nie mają dodatkowej reputacji w zakresie bezpieczeństwa? Systemd to bardziej skomplikowana kwestia. Opinie będą wahać się od tego, że jest on znacznie bezpieczniejszy niż poprzednie rozwiązania init, do tego, że jest on tworzony przez samą NSA w celu tworzenia luk w Linuksie. Weryfikowalny problem, jaki widzę, to jego rozmiar. Powszechnie wiadomo, że im mniejsze i mniej złożone jest oprogramowanie, tym mniejsze jest prawdopodobieństwo wykrycia dziwnych błędów i luk w zabezpieczeniach. W związku z tym wydaje się, że lżejsze alternatywy mają niewielką przewagę pod względem bezpieczeństwa. Znowu jest to korzystne dla dystrybucji, takich jak Gentoo, Void i Slackware.

Więc o co chodzi w Debianie? Czy to sama reputacja? Czy to dlatego, że dobrze współpracują ze społecznością i organizacjami, takimi jak FSF? Czy jest to bardziej problem, który Debian jest łatwiejszy do polecenia? Z pewnością nie polecałbym Gentoo nowemu użytkownikowi i oczekiwałbym, że będzie bezpieczny. Jestem szczerze ciekawa. Czy jest jakiś sekretny czynnik X, który ma Debian, a którego mi brakuje? Czy to naprawdę złoty standard bezpieczeństwa w Linuksie?

Więcej na Reddicie

Jego koledzy reddytujący Linuksa odpowiedzieli swoimi przemyśleniami na temat Debiana i bezpieczeństwa:

Daemonpenguin : „Nie sądzę, abym kiedykolwiek słyszał, jak mówi się o Debianie jako szczególnie dobry w bezpieczeństwie. Nie znaczy to, że Debian jest w tym zły, ale nigdy nie spotkałem nikogo, kto zdecydowałby się na używanie Debiana z powodu funkcji bezpieczeństwa. Nigdy też nie słyszałem, że Debian cieszy się doskonałą opinią w dziedzinie bezpieczeństwa.

Myślę, że OP bada dystrybucje, które są skoncentrowane na bezpieczeństwie, widząc, że są oparte na Debianie i zakładając, że dzieje się tak, ponieważ Debian jest bardzo bezpieczny. Tak prawdopodobnie nie jest. Projekty takie jak Tails i Kali prawdopodobnie używają Debiana jako bazy, ponieważ stosunkowo łatwo jest ponownie spinować Debiana. Debian tworzy bardzo stabilną, otwartą bazę. Łatwo jest rozszerzyć i dostosować Debiana oraz wiele przykładów do naśladowania.

Zatem Tails jest prawdopodobnie oparty na Debianie ze względu na łatwość pracy z Debianem jako platformą, a nie dlatego, że ma specjalne funkcje bezpieczeństwa.

Rzeczy takie jak cgroups (systemd) i SELinux to zupełnie inny temat i można ich używać z niemal każdą dystrybucją ”.

Silvernostrils : „Nigdy nie zdefiniowałeś bezpieczeństwa, możesz„ zhakować ”obwód typu flip-flop z impulsem czasowym i sprawić, że będzie się obracał, czy to oznacza, że ​​jest niepewny? Mam na myśli to, przed kim / przed czym chcesz się chronić.

Również złożoność i skala nie są jedynymi czynnikami, ale także tempo zmian i dostępne zasoby. Jeśli masz więcej oka na kod lub wolniejsze zmiany, a tym samym więcej czasu na przyjrzenie się kodowi, zmniejszasz również ryzyko błędów.

Jeśli zredukujesz złożoność i skalę, możesz uzyskać efekt odbicia, w którym zwolnione zasoby nie zostaną wydane na lepszą jakość kodu lub więcej przeglądów kodu, ale na szybsze iteracje. Nie jestem pewien, czy nie zamierzasz tylko przyspieszyć wyścigu, czy zamierzasz prześcignąć swoich przeciwników?

Nie jestem też pewien co do fuzzerów lub wąskich ataków AI, a co jest trudniejsze do strawienia. I czy nie uda nam się skończyć z kodem konkursowym prowadzącym do coraz bardziej wyszukanych i kosztownych środków obronnych. Ile mocy obliczeniowej jesteśmy gotowi poświęcić? Czy to będzie bitwa gospodarcza?

Debian zawsze był bardzo ostrożny / celowy, bardzo stabilny i bardzo godny zaufania, a ze względu na zapewniane bezpieczeństwo jest porównywalnie łatwy w użyciu. Społeczność też jest duża, więc jest bardziej prawdopodobne, że ktoś zauważy oszustwa.

Jeśli spojrzysz na SEL vs GR, to jest również dynamika i koszt przejścia, jeśli przełączę się z SEL na GR, pojawią się ramy czasowe, w których mój brak doświadczenia w konfigurowaniu GR spowoduje tymczasowy spadek bezpieczeństwa. ”

Tscs37 : „Jeśli chodzi o powierzchnię ataku, możesz uważać, że Alpine Linux jest domyślnie„ najbezpieczniejszy ”, ponieważ w zasadzie ma nieistniejącą powierzchnię ataku, oprócz domyślnie używanego zahartowanego jądra i narzędzi.

Z drugiej strony żadna dystrybucja nie jest domyślnie „bezpieczna”. Wszystkie są w jakiś sposób podatne na ataki. Najlepsze, co możesz zrobić, to wybrać taki, z którym czujesz się komfortowo, zainstalować wzmocnione jądro, śledzić na bieżąco CVE i trzymać głowę poniżej linii ognia ”.

Boomboomsubban : „Utrzymuje stabilną bazę i ciężko pracuje nad przenoszeniem poprawek bezpieczeństwa, aktualizacje wprowadzają potencjalne ryzyko, na które próbują przeczekać. GRsecurity działa na Debianie, załatane jądro znajduje się w repozytoriach i możesz je samodzielnie skompilować, jeśli chcesz. A ich proces podejmowania decyzji jest niezwykle przejrzysty, co przede wszystkim zapewnia ludziom komfort ”.

Jijfjeunsisheumeu : „Debian Security jest bzdurą z wielu powodów, począwszy od używania glibc do nieutwardzonego łańcucha narzędzi używanego po prostu do faktu, że było wiele przypadków, w których agresywna polityka Debiana polegająca na łataniu i rozwidlaniu pakietów stworzyła luki w zabezpieczeniach. nie istnieje powyżej.

To ostatnie jest naprawdę dużym problemem, chyba że jest to absolutnie konieczne, odejście od upstream jest koszmarem bezpieczeństwa, w którym nie wiesz już, jakie luki mogą mieć lub mogą mieć rzeczy. Jeśli ma tam być krytyczna poprawka, musi to być backport poprawki nadrzędnej.

Jeśli chcesz używać jądra Linuksa i chcesz bezpieczeństwa, naprawdę, przejdź do Gentoo Hardened, nie ma konkurenta. Tak, możesz uzyskać podobną rzecz w Debianie, samodzielnie przekompilowując system za pomocą wzmocnionych flag, ale menedżer pakietów nie będzie ci pomocny. ”

Cbmuser : „Debian nieustannie pracuje nad wzmocnieniem . Następnym krokiem jest domyślne włączenie -fPIE i użycie podpisanego obrazu jądra. Od dłuższego czasu hartujemy.

Ponadto, w przeciwieństwie do Gentoo, już przeszliśmy na gcc – 6 i mamy profesjonalnych opiekunów dla toolchain, glibc i kernel (opłacane przez firmy).

Debian ma odtwarzalne kompilacje i jest szeroko stosowany w interwebach oraz wspierany przez firmy takie jak Bytemark i HP Enterprise.

Jesteś słabo poinformowany ”.

Twiggy99999 : „Jeśli czytasz w Internecie (ja tak), każda dystrybucja jest najbezpieczniejsza, chodzi o to, że w przypadku Linuksa dystrybucja wybrana przez wszystkich jest najlepsza, a wszystkie inne„ są do dupy ”. Z drugiej strony są one poprawne, każda dystrybucja może być najbezpieczniejsza w zależności od tego, jak została skonfigurowana, co jest zainstalowane jako standardowe itp. Itp. Debian jest w porządku po wyjęciu z pudełka, ale możesz łatwo uczynić go znacznie mniej bezpiecznym, jak możesz distro, ale są też rzeczy, które możesz zrobić, aby uczynić go znacznie bezpieczniejszym. Naprawdę nie sądzę, że jest tu dobra lub zła odpowiedź ”.

Passthejoe : „Używam Fedory, ponieważ możesz łatwo zaszyfrować pełną instalację Linuksa, która jest instalowana jako system podwójnego rozruchu z Windows. Debian z łatwością pozwala na pełne szyfrowanie tylko wtedy, gdy jest jedynym SO na dysku.

Mówię „łatwo”, ponieważ jestem pewien, że jest to możliwe w instalatorze Debiana, ale prawdopodobnie jest to bardzo hakerskie i niełatwe.

To powiedziawszy, wykonanie w pełni zaszyfrowanej instalacji Debiana, gdy jest to jedyny system operacyjny, jest bardzo łatwe i jest wspaniałą rzeczą, która sprawia, że ​​Debian jest doskonałym wyborem dla osób dbających o bezpieczeństwo. ”

Ilikerackmounts : „Gentoo ze względu na swoją naturę posiadania zmiennych flag kompilatora może sprawić, że będzie mniej podatne na tworzenie łańcuchów ROP (ale z pewnością jest kuloodporne). Miał również utwardzony profil z utwardzonymi flagami użytkowania. Jednak powiedziałbym, że dystrybucje, które przynajmniej próbowałyby się wzmocnić, byłyby centos / fedora / rhel bez skonfigurowanych po wyjęciu z pudełka profili selinux.

To powiedziawszy, było wiele upokarzających snafusów dla wszystkich dystrybucji, aby zapobiec odważnym twierdzeniom o koncentrowaniu się na bezpieczeństwie, z których ostatnią była luka w zabezpieczeniach menedżerów pakietów. ”

Więcej na Reddicie

DistroWatch recenzuje Apricity OS 07.2016

Apricity OS to dystrybucja oparta na Arch Linux, która oferuje przeglądarkę specyficzną dla witryny ICE. ICE ułatwia integrację aplikacji internetowych z komputerem. DistroWatch opublikował pełną recenzję Apricity OS 07.2016.

Jesse Smith raporty dla DistroWatch:

Waham się przed wygłaszaniem jakichkolwiek ogólnych stwierdzeń na temat Apricity, jego mocnych i słabych stron, ponieważ mogę używać mojej zainstalowanej kopii systemu operacyjnego tylko w ograniczonej pojemności. Prawie cały mój krótki czas z dystrybucją spędziłem na uruchamianiu jej z płyty live. To powiedziawszy, pomimo tego, że moja zainstalowana kopia Apricity nie daje mi sesji na komputerze, większość tego, czego doświadczyłem w tym tygodniu, spodobała mi się.

Apricity miała cechy, na których mi nie zależało. Niewyraźne obramowania okien nie były idealne, ale można zmienić motyw i eksperymentować z różnymi stylami pulpitu. Nie lubię korzystać z odtwarzacza multimedialnego Totem, ale w repozytoriach jest wiele innych do wyboru.

Podoba mi się, że Apricity jest dostarczana z dużą ilością oprogramowania bez zbytniego powielania. Zwykle dostępny jest jeden program na zadanie, a dystrybucja obejmuje wiele zadań. Zawiera wszystko, od gier na Steam, przez pakiet produktywny po kodeki multimedialne. Nowy użytkownik może wskoczyć do czegokolwiek innego niż edycja wideo dzięki dostępnym domyślnym aplikacjom. Szczególnie podobało mi się, że zainstalowano Syncthing, ponieważ jest to narzędzie, które, mam nadzieję, będzie bardziej rozpowszechnione, zarówno do tworzenia kopii zapasowych, jak i do udostępniania plików.

W sumie podoba mi się to, co próbuje zrobić Apricity. Projekt jest stosunkowo nowy i ma dobry początek. Jest kilka ostrych krawędzi, ale niewiele i myślę, że dystrybucja spodoba się wielu ludziom, szczególnie tym, którzy chcą uruchomić system operacyjny z wydaniem kroczącym z bardzo łatwą początkową konfiguracją.

Więcej na DistroWatch

10 dużych ulepszeń w Androidzie 7.0 Nougat

Android 7.0 Nougat może być jak dotąd najlepszą wersją Androida. Ale co odróżnia go od poprzednich wersji mobilnego systemu operacyjnego Google? Pisarz z Forbes ma listę dziesięciu dużych ulepszeń w Androidzie 7.0 Nougat.

Shelby Carpenter raportuje dla Forbes:

Android 7.0 Nougat jest dostępny dla większości posiadaczy Nexusa i będzie dostępny przez cały następny rok na innych urządzeniach z Androidem. Nougat (znany również jako Android N) zawiera wiele dużych zmian w porównaniu z Marshmallow, ostatnim systemem operacyjnym Android. Zanim pobierzesz, oto niektóre z największych nowych funkcji, których możesz się spodziewać:

1. Lepsza żywotność baterii

2. Zmienione powiadomienia

3. Korzystanie z podzielonego ekranu

4. Nowe zastosowanie przycisku przeglądu

5. Lepsze przełączniki

6. Zmienione menu ustawień

7. Szyfrowanie oparte na plikach

8. Szybsze aktualizacje systemu

9. Bezpośredni rozruch

10. Oszczędzanie danych

Więcej w Forbes

Przegapiłeś łapankę? Sprawdź stronę główną Eye On Open, aby być na bieżąco z najnowszymi wiadomościami na temat oprogramowania open source i Linuksa .