Puppy linux güvenlik modeli ne zaman mantıklı?

16

Bazı çok güzel özelliklere sahip Puppy linux ile oynarken birkaç saat geçirdim, ancak beni endişelendiren güvenlik yaklaşımı (en azından varsayılan ayarlar) hakkında bazı şeyler var:

  1. Öyle görünüyor ki, onu kullanmanın amaçlanan yolu her şeyi kök olarak çalıştırmak
  2. Kök için şifre yoktur (varsayılan olarak-- elbette bir tane ekleyebilirim)
  3. Anlayabildiğim kadarıyla paketler için güvenlik güncellemelerini almanın otomatik (hatta basit, otomatik olmayan) bir yolu yoktur. (Bir şeyi kaçırmış olabilirdim.)

Her zaman karmaşık bir parolaya sahip olmanın, internete yönetici / kök kullanıcı olarak göz atmamanın ve sistem yazılımını (ve tarayıcıyı ve eklentileri) en son güvenlik açıkları için yamalar ile güncel tutmanın önemini her zaman aklıma getirmiştim. Ancak, bana bir felaket tarifi (yukarıda ana hatlarıyla) benzeyen şeylere rağmen, Puppy çok fazla spin-up'a sahip olacak kadar popüler, bu yüzden görünür güvenlik eksikliğinin sorun olmadığı senaryolar olmalı. Onlar neler?

security  puppy-linux 
Paul Lynch
kaynak
1
Köpek yavrusu kullandığım ilk linux dağıtımıydı. İyi bir kurtarma dağıtımı olarak hizmet etti. Bugünlerde grml'yi canlı kurtarma ortamları için ideal buluyorum.
jordanm

Yanıtlar:

7

Köpek hobileri için bir oyuncak dağıtımdır. Puppy (eksiklik) güvenlik modelinin mantıklı olduğu tek senaryo budur.

Bilgi güvenliğini inceleyen kurumlar gördükleri saldırı istatistiklerine dayanarak etki azaltma stratejileri yayınlamaktadır. Avustralya hükümetinin listesi:

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

İlk 4 stratejiyi takip etmenin saldırıların% 85'ini durduracağını tahmin ediyorlar. Bunlar:

  1. PDF görüntüleyici, Flash Player, Microsoft Office ve Java gibi yama uygulamaları . Yüksek riskli güvenlik açıkları için iki gün içinde düzeltme eki uygulayın veya azaltın. Uygulamaların en son sürümünü kullanın.

  2. Yama işletim sistemi güvenlik açıkları. Yüksek riskli güvenlik açıkları için iki gün içinde düzeltme eki uygulayın veya azaltın. En son işletim sistemi sürümünü kullanın.

  3. Alan adı veya yerel yönetici ayrıcalıklarına sahip kullanıcı sayısını en aza indirin. Bu tür kullanıcılar e-posta ve web'de gezinmek için ayrı bir ayrıcalıklı hesap kullanmalıdır.

  4. Kötü amaçlı yazılımların ve diğer onaylanmamış programların çalışmasını önlemeye yardımcı olan, örneğin Microsoft Yazılım Kısıtlama İlkeleri veya AppLocker kullanarak uygulama beyaz listesi .

Köpek yavrusu tüm bu sayıları başarısız. Fedora, OpenSUSE, Debian gibi ciddi dağıtımlar çok daha güvenlidir. Bu dağıtımların tümü, zamanında güvenlik yamaları sağlayan, AppArmor ve / veya SELinux aracılığıyla Uygulama beyaz listesi sunan ve elbette her şeyi kök olarak çalıştırmayan (dürüstçe, wtf?) Aktif güvenlik posta listelerine sahiptir.

Güvenliğinize değer veriyorsanız, ciddi bir şey için Puppy kullanmayın.

sml
kaynak
1
Yararlı cevap için +1, ancak hepsine katıldığımdan emin değilim. Köpek yavrusu linux kendini bir oyuncak dağıtımı olarak göstermiyor gibi görünüyor - bu şekilde davranmak için herhangi bir uyarı yok.
Paul Lynch
Kibirli yanlış bilgilendirmesi nedeniyle bunu küçümseyecektim, ancak şu anda düşüşün değerini sorgularım . Sadece çok kullanıcılı bir ortam için doğru olanın tek kullanıcılı bir ortam için her zaman doğru olmadığını söyleyeyim. Puppy Linux özellikle tek kullanıcılı bir ortam için tasarlanmıştır. Ayrıca tek kullanıcılı / çok bilgisayarlı bir ortamda da iyi çalışır.
DocSalvager
4

Montajdan Oracle veritabanı yönetimine düzinelerce dilde 30 yıldan fazla programlama ve Puppy Linux'tan daha güvenli ve güvenilir bir şey bulamadım .

Tüm Unix / Linux sistemleri gibi, Puppy Linux güvenliği de en bilindik Microsoft sisteminden çok farklı bir dünyadır. Diğer yanıtlarda ifade edilen aşağılayıcılık, Microsoft bakış açısından tamamen anlaşılabilir, ancak güvenlik konusunda başka yaklaşımların bulunmadığı anlayışından kaynaklanmaktadır.

Genel olarak, Microsoft Windows O / Ss açıkça reddedilmedikçe her şeye tam erişim olduğunu varsayar. Unix / Linux, açıkça izin verilmedikçe hiçbir şeye erişim olmadığını varsayar. Bu, yetkisiz erişimi önlemede çok yol kat eder.

* Nix rootkullanıcı için tam erişim verilir çoğu olsa bile, her şeyin rootrutin yürütmek izni bayrak kümesine sahip olmayan bir dosya yürütme ve üzerinden başka ana makinesine bağlanmak gibi şeyler yapıyor engellenir SSH şifre veya danışıklı anahtar paylaşımı olmadan.

"Yerel" Linux'tan farklı olarak, Puppy Linux tek kullanıcılı bir ortam için optimize edilmiştir . Tek kullanıcı, rootbu makinenin tam kontrolüne sahiptir ve böylece makineyi davetsiz misafirlerden daha iyi koruma yeteneğine sahiptir. Birden fazla kullanıcıyı barındırmanız gerekiyorsa, diğer birçok iyi Linux dağıtımından birini deneyin.

Puppy Linux'un unionfs / aufs yığın dosya sistemlerini kullanması, yakın zamanda değiştirilen tüm dosyaları salt okunur katmanlarda tutar. Bu, tüm sistemin bilinen iyi bir duruma daha kolay geri yüklenmesini sağlayan bir "geri alma" özelliği sağlar. Son çare olarak, dağıtıldığı gibi orijinal sistem, üst katmanlarda sonraki değişiklikleri korurken yeniden başlatılabildiği alt salt okunur katmanda tutulur.

Nadiren tartışılsa da, yazılımın sık yaması çok kenarlı bir kılıçtır. Yeni sürümler her zaman eski yazılım ve donanımlarla birlikte çalışırken sıklıkla aksaklıklar yaratan mevcut donanımı barındırmalıdır. Bu yüzden tutmak istiyorsan herhangi bir şeyi güncel tutmak istiyorsanız, her şeyi güncel tutmanız gerekir .

Yama, Microsoft ortamlarındaki tek geçerli savunma olabilir, ancak her Linux, en yeni ve en büyük olmayan donanımda çalışırken sistemleri güvende tutmak için geniş bir teknik araç kutusu ile birlikte gelir.

Puppy Linux çoğunlukla programcılar, sistem yöneticileri ve analistler tarafından günlük bilgi işlem ihtiyaçları için kullanılır.

  • Birkaç makineden / kullanıcıdan aynı anda onlarca web sitesine internet erişimi.
  • Yazılımın icat ettiği hemen hemen her dilde geliştirilmesi.
  • Sonsuz permütasyonlar ve yazılım konfigürasyonlarının kombinasyonları ile deneyler.
  • ... ve hatta burada soruları cevaplarken e-posta ve sosyal medyayı kontrol ediyor.
DocSalvager
kaynak
3
Her şeyi kök olarak çalıştırmanın onu nasıl daha güvenli hale getirdiğini görmüyorum. Bir tarayıcıyı kök olarak çalıştırıyorsanız (özellikle en son yamalar ile güncellenmemiş olan) ve tarayıcınızda bir güvenlik açığından yararlanan virüslü bir web sitesini ziyaret ederseniz, saldırgana sisteminiz üzerinde tam kontrol verdiniz. Bunun olduğunu bile bilmiyor olabilirsiniz. Bu durumda kök olmanın size bir anlamı var mı?
Paul Lynch
2
Kök olarak koşmak sizi üst ele sahip olmak yerine davetsiz misafirlerle eşit zemine sokar. Bir Linux sistemine giren herhangi bir yazılım root olmaya çalışır ve en azından root dışı girişinizden daha büyük ayrıcalıklar kazanmayı başarır. Kök olmayan bir kullanıcı olarak, sistemde çalışan tüm işlemlerin tam bir listesini almak gibi birçok şey gizlidir. Bazı temel "enstrümantasyon" ile root olarak çalışırken, hangi işlemlerin genellikle çeşitli koşullar altında ne zaman ve ne kadar CPU kullanıldığına alışırsınız, böylece kötü amaçlı olabilecek anormallikleri fark edersiniz.
DocSalvager
3
Bu cevap ciddi yanıltıcı. Kök olarak oturum açmadıysanız, kötü amaçlı yazılımın "üst eli" yoktur; Bu bir dezavantaj çünkü kök parolayı bilmiyor ve siz (kullanıcı) biliyorsunuz. Kök ayrıcalıkları kazanmayı başaran kötü amaçlı yazılımlar sisteminizi tamamen değiştirebilir ("salt okunur" unionfs / aufs katmanları dahil) ve varlığını gizleyebilir, böylece orada asla fark etmeyeceksiniz ( rootkit'ler hakkında bilgi edinin ). Giriş oturumunuzun tamamını root olarak çalıştırırsanız, kötü amaçlı yazılımın bunu yapmaya çalışmasının önünde duran önemli bir güvenlik engelinden yoksundur.
Wyzard
2

Standart, 'ciddi' Linux paradigması , erişim reddi (kim bilgisayarı?) İle zaman zaman oldukça sinir bozucu olmanın yanı sıra yanlış bir güvenlik hissi verebilir. Bu nedenle, www'ye bağlıyken bile birçok uygulamayı 'kök' olarak çalıştırmak gerekir. Bu arada, kasıtlı olarak 'aşırı güvenli' yaptığım Debian tabanlı bir kurulumu parçalamak için 'canlı' bir Köpek yavrusu kullandım. Aynı şeyi ~% 100 ASM ile yazılmış olan ve iddia edilen 'savunmaları' tanımayan KolibriOS ('Hummingbird OS') için de yaptım. Örnek olarak, ext4 olarak biçimlendirilmiş bir harici depolama ortamında, 'kayıp ve bulunan' klasör çoğu Linuxen'e kilitlenir, ancak bir Yavru Köpek'e kilitlenmez.

Her durumda (AFAIK) en savunmasız potansiyel saldırı / kontaminasyon vektörü / uygulaması olan web tarayıcı genellikle 'kök' olarak çalışmaz. Güvenlik için, güçlü BleachBit temizleyiciyi unutmamak için özel tarama modu, https ve elbette güvenlik duvarları ve web tarayıcısı güvenlik duvarları (üstte) vardır.

Güncelleme eksikliği ile ilgili olarak, deneyimlerime göre, MSW sürekli güncellenir / yamalı, ancak görünüşe göre en az güvenli sistem; sürekli yamalı Linuxen, yaklaşık bir hafta içinde kırılıyor; LTS Linuxen nispeten az güncelleme ile 'sadece çalışın'; bu yüzden Puppy'deki güncellemelerin göreceli eksikliği (sürüme bağlı olarak) yanlış bir endişe alanı olabilir, biraz daha öğrenene kadar beni ciddi şekilde rahatsız eden.

Puppy'nin önemli bir güvenlik özelliği, (tercih edilen / önerilen bir 'tutumlu' kurulumda) her oturumun standart veya benzersiz bir dosyaya kaydedilip kaydedilmemesidir, bu nedenle belirli için 'ısmarlama' oturumları çalıştırmak mümkündür "normal" kullanıma dönmek için oturumu kapatma / oturum açma gerektiren. Belirli amaçlar için kısıtlanmış kullanıcı hesapları da eklenebilir. Tutumlu bir kurulumun etkili bir şekilde 'canlı' bir sistem olduğu göz önüne alındığında, Puppy doğru şekilde kullanılırsa 'normal' Linuxen'den daha güvenli olabilir.

Referanslar:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Son olarak, kayıt gerektiren bir foruma asla katılmayın, daima bir 'hayalet' e-posta adresi kullanın.

Taş Ormanı
kaynak
Yorumları başkalarına yönlendirin. Bunu yapmak için A kullanmayın. Yeterli destek aldığınızda yorum bırakabilirsiniz.
slm
% 100 ASM "makro çağıran bir makro çağıran makro" adını vermedi. Bazı şeyleri nasıl yapacağımı anlamak için KolibriOS kaynaklarını okumaya çalıştığımda bu izlenim buydu.
Ruslan
2

Daha önce de belirtildiği gibi, Puppy farklı bir güvenlik modeli (veya isterseniz farklı bir paradigma) kullanır ve gerçek dünyada deneyimsel olarak değerlendirilmelidir. Deneyimlerim şöyle özetlenebilir:

  • Debian: uygulamalar telefon ederek hacklendi.
  • Slackware: saldırıya uğradı.
  • Arch: Kesinlikle saldırıya uğrayacak kadar kararlı kalmadı.
  • Windows XP: Ethernet sürücüsünü Microsoft'a kaydolduktan sonra kaldırıyorum. Dedi Nuff.
  • OpenBSD: saldırıya uğradı. Evet, biliyorum.
  • DragonFlyBSD: hiç çalışmazsa asla nüfuz etmez.
  • FreeBSD: Şimdiye kadar çok iyi. PF kullanma. 8 aydan az kullanıldı.
  • Köpek yavrusu: 6 yıl içinde asla hacklenmedi. Asla . Basitlik ve güvenilirliğe ihtiyacım olduğunda hala ana dağıtımım.

Tekrarlamak için: Köpek yavrusu, birçok kişinin doğal olarak güvenli olduğuna inandığı farklı bir model kullanır. Geleneksel Unix, Windows veya ______ ile karşılaştırmak, elmaları portakallarla karşılaştırıyor.

Charlie Leeseman
kaynak
2

2000 yılından beri sadece linux'dayım ve hiçbir zaman dışarıda virüs bulamadım. Bazı dosyaları taşımak için eski bir windows sabit disk kullanırken kendime bir kez enfekte. Hepsini temizlemek için Clamtkl'i çalıştırdım.

Birkaç yıldır Puppylinux'dayım. Hala herhangi bir virüsle ilgili sorunum yok. Windows insanları başlarını "Bu nasıl mümkün olabilir?"

Bana göre, bir motorcu, "Sadece iki tekerlekli nasıl sürülebilir?"

Köpek yavrusu sadece oturum yönetimi için dbus kullanır. Böylece Active-x'in yaptığı gibi hiçbir şey yayılmaz.

Yalnızca düz metin olan Sylpheed e-posta istemcisini kullanıyorum.

Çoğu şey devre dışı bırakılmış eski bir Opera kullanıyorum. JS'yi şimdi yaptığım gibi göndermek için açıyorum.

CD'den önyükleme yaptığım için her seferinde yeni bir başlangıç. Sabit disklerimde işletim sistemi yok.

Açtığımda, yaklaşık 15 işlemi durdurabilir ve sayabilirim. Ve hepsini biliyorum. Kök olarak gözlerimden gizlenmiş hiçbir şey yok.

Birkaç yıldır ticari web sitesi teknik desteği yaptım, bu yüzden tipik bir bilgisayar kullanıcısı değilim.

Windows önyükleme seçeneklerini sınırlamaya çalışır, sabit sürücüleri şifreler, programları şifreler veya hash eder, her zaman virüs bulaştıktan SONRA güvenlik yamaları uygular. Yine de mikroplarını yaymak için Active-x ve eşdeğer mekanizmaları kullanmaya devam ediyorlar.

Kullanıcılar bir e-tablo açan tüm web bağlantılarını ve tüm diğer şeyleri tıklamak isterler. Ve insanlar şifreleri tarayıcılarına kaydetmek için ısrar ediyorlar çünkü daha uygun.

Birçok Windows kullanıcısı inanılmaz derecede karmaşık oturum açma işlemlerine sahiptir ve neden hala virüs aldıklarını anlayamazlar. Çünkü makinenin geri kalanı tamamen açık bir kapıdır.

Bu, arkadaşlarıyla paylaştıkları "temiz" iğneleri olan uyuşturucu kullanıcıları gibi.

Umarım bu güvenlik ve "köpek yavrusu" hakkında bazı yanlış anlamaları giderebilir.

işaret
kaynak
Sanırım kullanım durumunun ne olduğuna ve onu güvenli bir şekilde çalıştırmak için ne vermek istediğinize bağlı. Çoğu kişi JavaScript devre dışı bırakıldığında genel web taraması yapmak istemez veya e-postaların salt metin sürümlerini görmek istemez. LiveCD yaklaşımının avantajları vardır, ancak JavaScript etkinken genel web üzerinden ödeme yapmak istiyorsanız, her ay tarayıcılarda yeni güvenlik delikleri keşfedildiğinden ve işletim sisteminin yeniden başlatılmasında temizlenmesine rağmen saklanan verileriniz ya çöpe atılabilir ya da çalınabilir.
Paul Lynch
1

Puppy Linux gibi bir şeyin oldukça güvenli olacağı bir durumu düşündüm (ya da sanırım-- yorumları hoş geldiniz.) Eğer monte edilebilir depolama aygıtları olmayan bir sistemde bir Canlı CD'den çalıştırırsanız (yani sabit disk yok demektir) sistemde veya en azından hiç kullanmadığınız bir sistemde), ekli olmayan tarayıcıda bir delik açmış bir web sitesini ziyaret etseniz bile, sisteminizi bir sonraki yeniden başlattığınızda temiz olacaktır. böyle bir web sitesini ve yeniden başlatmayı ziyaret ettiğinizde, girdiğiniz şifreleri yakalayan bazı keyloggerlar olabilir, bu yüzden dikkatli olmanız gerekir, belki de herhangi bir yere giriş yapmayı planlamadığınız sürece sadece yer imi web sitelerini ziyaret etmelisiniz. Dosyaları bir USB flash sürücüye kaydedebilirsiniz,

* BIOS'unuzu veya başka bir ürün yazılımını enfekte edebilen virüsleri (neyse ki nadiren olması gerekiyordu) okudum ve bu olursa yeniden başlatma yardımcı olmaz.

Paul Lynch
kaynak
1

sml sordu: "Ayrıca, Köpek yavrusu tavsiye eden polis güçlerine bir bağlantı sağlayabilir misiniz?"

Belki de bu yardımcı olacaktır: Yeni Güney Galler Polisinin Bilgisayar Suç Soruşturma Birimi'nden Dedektif Müfettiş Bruce van der Graaf, Yeni Güney Galler Hükümeti adına siber suçla ilgili halka açık bir duruşmada kanıt verirken, özellikle Puppy Linux'u bir olarak tavsiye etti on-line bankacılık gibi ticari işlemlerin internette güvenli bir şekilde yürütülmesi için temel yöntemlerin

Ayrıntılar için bkz. Http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

Ve tesadüfen, Puppy Linux'un yaratılmasına katılanların hiçbiri bunu bir "oyuncak dağıtımı" olarak görmüyor.

Tenman
kaynak
0

Puppy Linux'un 6 yıl boyunca tutumlu bir kurulum olarak ele geçirildiğini hiç duymadım. Bunun nedeni, Puppy'nin çoğu hizmetin kapalı olmasıyla çalıştığına inanıyorum (Shields Up gibi bir web güvenlik sitesi kullanmayı deneyin. Linux Eğitimcisi olarak yaptığım işin bir parçası olarak kapsamlı güvenlik testi yaptım ve Puppy'in Ubuntu'dan bile daha güvenli olduğunu gördüm Tabii ki, bir tarayıcı ile canlı bir cd olarak bir remaster olarak köpek yavrusu çalıştırırsanız, çok güvenli ekledi (web'de sabit disk takılı olmadan) .Bu polis tarafından önerilen yöntemdir tamamen güvenli bir sistem için dünya çapında güçler.

David G
kaynak
Bilgilendirilmiş cevap için teşekkürler. Takip eden iki soru: 1) Bir güvenlik duvarının (örneğin NAT'lı bir yönlendirici) arkasında koşuyorsanız, birincil saldırı aracı ziyaret edilen web siteleri aracılığıyla olurdu, değil mi? 2) Sabit diskler sökülse bile, web'de gezinme yoluyla yüklenen kötü amaçlı yazılımlar, web tarayıcısı root olarak çalıştığı için bunları yeniden yükleyebildi mi? Görünüşe göre Puppy tarama etkinliği aracılığıyla sistemdeki Windows işletim sisteminin bulaştığı saldırıların bazı raporlarını okuyordum.
Paul Lynch
David, güvenlik testini ne içeriyor? Umarım sadece Shields Up'ı ziyaret etmekten daha fazlasını içerir. Ayrıca, Köpek yavrusu öneren polis güçlerine bir bağlantı sağlayabilir misiniz?
sml
"Shields Up", on yıl önce Windows kurulumlarında sık karşılaşılan bir güvenlik sorununun testi olarak, bir dizi bağlantı noktasının durumunu kontrol eder. Modern işletim sistemleri, bağlantı noktalarını yalnızca bu bağlantı noktalarını dinleyen sistem hizmetleri olduğunda açar.
bgvaughan
Ubuntu veya diğer popüler Linux dağıtımlarına varsayılan olarak yüklenen az sayıda ağ hizmeti önemsiz bir güvenlik açığıdır. Varsayılan olarak root olarak çalıştırmak daha önemli bir güvenlik açığıdır, ancak bir LiveCD'den işletim sistemi çalıştırılırsa önemli ölçüde azaltılır. Ancak bir LiveCD'den işletim sistemi çalıştırıyorsanız, root olarak çalıştırmanız gerekmez.
bgvaughan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.