Je Debian zlatým standardem pro zabezpečení Linuxu?
Zabezpečení je důležitou prioritou pro všechny uživatele, dokonce i pro ty, kteří používají Linux jako preferovaný operační systém. Jeden redditor v nedávném diskusním vlákně uvažoval, zda by měl být Debian považován za zlatý standard pro zabezpečení Linuxu.
ZombieWithLasers zahájili diskusi těmito pozorováními a otázkami:
Všiml jsem si, že Debian má tendenci hodně přicházet, když mluvíme o zabezpečení v Linuxu. Zdá se, že jde o distribuci typu go-to, když někdo hovoří o bezpečnosti a soukromí. Mnoho distribucí zaměřených na bílý klobouk a zabezpečení jej používá jako základnu, včetně Kali a Tails. EFF to doporučil při několika příležitostech a bylo mu dokonce poděkováno v kreditech Občanské čtyřky. Je to opravdu mnohem bezpečnější než jiné distribuce?
Chápu, že kolem podnikových distribucí, jako jsou RHEL, SUSE a Ubuntu, existují obavy, i když tyto obavy nejsou opodstatněné. Komunita open source / FLOSS vždy měla určitou nedůvěru vůči společnostem. A co distribuce jako Arch, Gentoo a Slackware? Arch je dokonce členem stejné neziskové organizace jako Debian.
Existují i další úvahy, například GRSecurity a Systemd. Ve většině účtů je GRSecurity lepší než SELinux, přesto je skutečně nabízen pouze Gentoo a Arch v jejich hlavních úložištích. Proč nemají nějakou přidanou bezpečnostní pověst? Systemd je složitější záležitost. Názory se budou pohybovat v rozmezí od toho, že je mnohem bezpečnější než předchozí řešení init, až po to, že je produkují samotné NSA, aby vytvořily chyby zabezpečení v Linuxu. Ověřitelný problém, který vidím, je jeho velikost. Je dobře známo, že čím je software menší a méně složitý, tím menší je šance na vynoření podivných chyb a zranitelností. Z toho by se zdálo, že alternativy lehčí váhy mají mírný náskok v zabezpečení. Znovu to jde ve prospěch distribucí jako Gentoo, Void a Slackware.
Co je tedy o Debianu? Je to pověst sama? Je to proto, že dobře spolupracují s komunitou a organizacemi, jako je FSF? Je to spíše problém, který Debian snáze doporučujeme? Určitě bych Gentoo nedoporučoval novému uživateli a očekával jsem, že bude v bezpečí. Jsem upřímně zvědavý. Existuje nějaký tajný faktor X, který mi Debian chybí? Je to opravdu zlatý standard v zabezpečení Linuxu?
Více na Reddit
Jeho kolegové redaktoři Linuxu odpověděli svými myšlenkami na Debian a bezpečnost:
Daemonpenguin: „Nemyslím si, že jsem někdy slyšel, že Debian je označován jako zvláště dobrý v zabezpečení. Ne že by Debian na tom byl špatně, ale nikdy jsem nevěděl, že by se někdo rozhodl používat Debian kvůli bezpečnostní funkci. Ani jsem nikdy neslyšel, že Debian má vynikající reputaci v oblasti bezpečnosti.
Myslím, že OP se dívá na distribuce, které jsou zaměřené na bezpečnost, vidí, že jsou založeny na Debianu, a za předpokladu, že je to proto, že Debian je velmi bezpečný. To pravděpodobně není tento případ. Projekty jako Tails a Kali pravděpodobně používají Debian jako základnu, protože je relativně snadné jej znovu roztočit. Debian vytváří velmi stabilní a otevřenou základnu. Je snadné rozšířit a přizpůsobit Debian a mnoho dalších příkladů.
Tails je tedy pravděpodobně založen na Debianu kvůli snadné práci s Debianem jako platformou, ne proto, že má speciální bezpečnostní funkce.
Věci jako cgroups (systemd) a SELinux jsou úplně jiný předmět a lze je použít téměř s jakoukoli distribucí. “
Silvernostrils: „Nikdy jste nedefinovali zabezpečení, můžete„ hacknout “klopný obvod s časovaným pulzem a udělat z něj klopný obvod, znamená to, že je nezabezpečený? Chci říct, proti komu / co se chcete chránit.
Také složitost a rozsah nejsou jedinými faktory, rychlostí změn a dostupnými zdroji. Pokud se na kód díváte více nebo pomalejší změny, a tím pádem máte více času se na kód dívat, snižujete také riziko chyb.
Pokud snížíte složitost a měřítko, můžete získat efekt odskoku, kde uvolněné prostředky nejsou utráceny za lepší kvalitu kódu nebo více kontroly kódu, ale za rychlejší iterace. Nejsem si jistý, jestli nejdeš jen urychlit závod, chceš předběhnout své protivníky?
Také si nejsem jistý fuzzery nebo útoky s úzkou AI a co je pro ně těžší strávit. A zda nakonec nebudeme mít soutěž, která zavede kód prostřednictvím stále komplikovanějších a nákladnějších obranných opatření. Kolik výpočetní síly jsme ochotni obětovat? Bude to ekonomická bitva?
Debian byl vždy velmi opatrný / úmyslný, velmi stabilní a velmi důvěryhodný a jeho zabezpečení je srovnatelně snadné. Komunita je také velká, takže je pravděpodobnější, že si někdo všimne shenanigans.
Pokud se podíváte na SEL vs GR, pak je zde také hybnost a náklady na přechod, pokud přejdu ze SEL na GR, bude existovat časový rámec, kde můj nedostatek zkušeností s konfigurací GR způsobí dočasný pokles bezpečnosti. “
Tscs37: „Pokud jde o povrch útoků, možná se díváte na to, že Alpine Linux je ve výchozím nastavení„ nejbezpečnější “, protože má v zásadě neexistující povrch útoku navíc k použití tvrzeného jádra a nástrojů ve výchozím nastavení.
Na druhou stranu, žádná distribuce není ve výchozím nastavení skutečně „zabezpečená“. Všichni jsou nějakým způsobem zranitelní útoky, nejlepší, co můžete udělat, je vybrat si ten, kterému vyhovujete, nainstalovat vytvrzené jádro, udržovat aktuální informace o CVE a udržovat hlavu pod palebnou čarou. “
Boomboomsubban: „Udržuje stabilní základnu a tvrdě pracuje na zpětných opravách zabezpečení, aktualizace představují potenciální rizika, na která se snaží počkat. GRsecurity je použitelný v Debianu, opravené jádro je v repozitářích a můžete si jej sami sestavit, pokud chcete. A jejich rozhodovací proces je neuvěřitelně transparentní, což lidi utěšuje, pokud nic jiného. “
Jijfjeunsisheumeu: „Debian Security je zmatek z tolika důvodů, od použití glibc po nevytvrzený nástrojový řetězec, který se používá jednoduše ke skutečnosti, že existuje několik případů, kdy agresivní politika Debianu v oblasti oprav a rozdvojování balíčků vytvořila chyby zabezpečení, které existují proti proudu.
Ten druhý je opravdu velkým problémem, pokud to není absolutně nutné, odchýlení se od proti proudu je noční můra zabezpečení, kde už nevíte, jaké chyby zranitelnosti mohou nebo mohou mít. Pokud tam má být kritická oprava, musí to být backport upstreamové opravy.
Pokud chcete použít linuxové jádro a chcete zabezpečení, ve skutečnosti použijte Hardened Gentoo, neexistuje žádný konkurent. Ano, v Debianu můžete získat podobnou věc tím, že svůj systém překompilujete sami pomocí zpevněných příznaků, ale správce balíčků vám nepomůže. “
Cbmuser: „Debian neustále pracuje na posílení. Dalším krokem je povolení -fPIE ve výchozím nastavení a použití podepsaného obrazu jádra. Děláme otužování už nějakou dobu.
Na rozdíl od Gentoo jsme již přešli na gcc – 6 a máme profesionální správce pro toolchain, glibc a kernel (placené společnostmi).
Debian má reprodukovatelné verze a je široce používán na interwebech a je podporován společnostmi jako Bytemark a HP Enterprise.
Jste špatně informováni. “
Twiggy99999: „Pokud čtete internet (já ano), každá distribuce je nejbezpečnější, s Linuxem je to, že každá distribuce je nejlepší a všechny ostatní jsou„ naštvané “. Pokud mají pravdu, každá distribuce může být nejbezpečnější v závislosti na tom, jak byla nastavena, co je nainstalováno jako standard atd. Atd. Debian je v pořádku, ale snadno ho můžete udělat mnohem méně bezpečným, jako u kteréhokoli jiného distro, ale můžete také udělat věci, aby bylo mnohem bezpečnější. Opravdu si nemyslím, že zde existuje správná nebo špatná odpověď. “
Passthejoe: „Používám Fedoru, protože můžete snadno zašifrovat úplnou instalaci systému Linux, která je nainstalována jako systém se dvěma bootmi v systému Windows. Debian snadno umožňuje úplné šifrování, pouze pokud je jediným SO na jednotce.
Říkám „snadno“, protože jsem si jist, že je to možné v instalačním programu Debianu, ale je to pravděpodobně super hackerské a není to snadné.
To znamená, že provést plně šifrovanou instalaci Debianu, když je jediným operačním systémem, je velmi snadné a je to skvělá věc, díky níž je Debian skvělou volbou pro ty, kteří dbají na bezpečnost. “
Držáky Ilikerack: „Gentoo díky své povaze proměnných příznaků kompilátoru může snížit jeho náchylnost k řetězení ROP (ale určitě, ale neprůstřelné). Také to mělo tvrzený profil s tvrzenými příznaky použití. Řekl bych však, že distribuce, že alespoň pokusy o vytvrzení by byly centos / fedora / rhel s out of the box konfigurovanými selinux profily.
Jak již bylo řečeno, pro všechny distribuce existuje řada pokorných snafů, aby se zabránilo odvážnému tvrzení, že je zaměřeno na bezpečnost, přičemž posledním z nich byly chyby zabezpečení správců balíčků. “
Více na Reddit
DistroWatch recenze Apricity OS 07.2016
Apricity OS je distribuce založená na Arch Linuxu, která nabízí webový prohlížeč specifický pro ICE. ICE usnadňuje integraci webových aplikací do prostředí počítače. DistroWatch má plnou recenzi na Apricity OS 07.2016.
Jesse Smith hlásí pro DistroWatch:
Váhám s výroky o Apricity, jeho silných a slabých stránkách, protože jsem nainstalovanou kopii operačního systému používal jen s omezenou kapacitou. Téměř celý můj krátký čas s distribucí jsem strávil spuštěním ze živého disku. To bylo řečeno, navzdory mé nainstalované kopii Apricity, která mi nedala relaci na ploše, se mi většina z toho, co jsem tento týden zažila, líbila.
Apricity měla některé funkce, o které jsem se nestaral. Nezřetelné okraje okna nebyly ideální, ale je možné změnit motiv a experimentovat s různými styly plochy. Nelíbí se mi používat přehrávač médií Totem, ale v úložištích je spousta dalších, ze kterých si můžete vybrat.
Líbí se mi, že Apricity se dodává se spoustou softwaru bez velké duplikace. K dispozici je obvykle jeden program na úkol a distribuce pokrývá mnoho úkolů. Zahrnuto je vše od hraní se Steamem přes sadu produktivity až po multimediální kodeky. Nový uživatel může s dostupnými výchozími aplikacemi skočit téměř na cokoli jiného než střih videa. Obzvláště se mi líbilo, že byl nainstalován Syncthing, protože je to nástroj, který, jak doufám, uvidí v širším měřítku, jak pro nastavení záloh, tak pro sdílení souborů.
Celkově se mi líbí to, o co se snaží Apricity. Projekt je relativně nový a má dobrý začátek. Existuje několik hrubých hran, ale ne mnoho a myslím, že distribuce osloví spoustu lidí, zejména těch, kteří chtějí provozovat operační systém s postupným uvolňováním s velmi snadným počátečním nastavením.
Více na DistroWatch
10 velkých vylepšení v systému Android 7.0 Nougat
Android 7.0 Nougat může být dosud nejlepší verzí systému Android. Co ji však odlišuje od předchozích verzí mobilního operačního systému Google? Spisovatel ve Forbesu obsahuje seznam deseti velkých vylepšení v systému Android 7.0 Nougat.
Shelby Carpenter hlásí pro Forbes:
Android 7.0 Nougat je tu pro většinu majitelů zařízení Nexus a bude se v průběhu příštího roku objevovat pro další zařízení Android. Nougat (také známý jako Android N) přichází s řadou velkých změn oproti Marshmallow, poslednímu OS Android. Než si stáhnete, zde jsou některé z největších nových funkcí, které můžete očekávat:
1. Lepší výdrž baterie
2. Vylepšená oznámení
3. Použití rozdělené obrazovky
4. Nové použití tlačítka Přehled
5. Lepší přepínání
6. Přepracovaná nabídka nastavení
7. Šifrování založené na souborech
8. Rychlejší aktualizace systému
9. Přímé spuštění
10. Spořič dat
Více na ForbesZmeškal jste shromáždění? Podívejte se na domovskou stránku Eye On Open a podívejte se na nejnovější zprávy o open source a Linuxu.
