Programmering

Er Debian guldstandarden for Linux-sikkerhed?

Er Debian guldstandarden for Linux-sikkerhed?

Sikkerhed er en vigtig prioritet for alle brugere, også dem der kører Linux som deres foretrukne operativsystem. En redditor undrede sig i en nylig diskussionstråd, om Debian skulle betragtes som guldstandarden for Linux-sikkerhed.

ZombieWithLasers startede diskussionen med disse observationer og spørgsmål:

Jeg har bemærket, at Debian har tendens til at komme meget op, når vi taler om sikkerhed på Linux. Det ser ud til at være distributionen, når nogen taler om sikkerhed og privatliv. Mange af de hvide hatte og sikkerhedsfokuserede distributioner bruger det som deres base, herunder Kali og Tails. EFF har anbefalet det ved flere lejligheder, og det blev endda takket i kreditterne for Citizen Four. Er det virkelig så meget mere sikkert end andre distributioner?

Jeg forstår, at der er bekymring omkring virksomhedsdistributioner som RHEL, SUSE og Ubuntu, selvom disse bekymringer ikke er funderet. Open source / FLOSS-samfundet har altid haft en vis mistillid til virksomheder. Hvad med distributioner som Arch, Gentoo og Slackware? Arch er endda medlem af den samme nonprofit som Debian.

Der er også andre overvejelser, som GRSecurity og Systemd. GRSecurity er af de fleste konti bedre end SELinux, men alligevel tilbydes det kun virkelig af Gentoo og Arch i deres hovedlagre. Hvorfor har de ikke noget ekstra sikkerhedsmæssigt ry for det? Systemd er et mere kompliceret problem. Udtalelserne vil variere fra at det er langt mere sikkert end tidligere init-løsninger til det, der produceres af NSA selv for at skabe sårbarheder i Linux. Det verificerbare problem, jeg ser, er størrelsen på det. Det er velkendt, at jo mindre og mindre kompleks softwaren er, jo mindre mulighed er der for mærkelige fejl og sårbarheder. På det ser det ud til, at alternativer med lettere vægt har en lille fordel i sikkerheden. Igen går dette til fordel for distroer som Gentoo, Void og Slackware.

Så hvad handler det så om Debian? Er det omdømmet alene? Er det fordi de arbejder godt med samfundet og organisationer som FSF? Er det mere et problem, som det er lettere at anbefale Debian? Jeg vil bestemt ikke anbefale Gentoo til en ny bruger og forventer, at de er sikre. Jeg er ærligt nysgerrig. Er der en hemmelig X-faktor, som Debian har, som jeg mangler? Er det virkelig guldstandarden i Linux-sikkerhed?

Mere på Reddit

Hans andre Linux redditors svarede med deres tanker om Debian og sikkerhed:

Daemonpenguin: ”Jeg tror ikke, jeg nogensinde har hørt Debian blive omtalt som særlig god til sikkerhed. Ikke at Debian er dårlig til det, men jeg har aldrig kendt nogen til at vælge at bruge Debian på grund af en sikkerhedsfunktion. Jeg har heller aldrig hørt, at Debian har et fremragende ry for sikkerhed.

Jeg tror, ​​at OP kigger på distroer, der er sikkerhedsfokuserede, idet de ser, at de er baseret på Debian og antager, at det er fordi Debian er ultra sikker. Det er sandsynligvis ikke tilfældet. Projekter som Tails og Kali bruger sandsynligvis Debian som base, fordi det er relativt let at re-spinde Debian. Debian skaber en meget stabil, åben base. Det er let at udvide og tilpasse Debian og mange eksempler, der skal følges.

Så Tails er sandsynligvis Debian-baseret på grund af den nemme at arbejde med Debian som en platform, ikke fordi den har særlige sikkerhedsfunktioner.

Ting som cgroups (systemd) og SELinux er et helt andet emne og kan bruges med næsten enhver distro. ”

Silvernostrils: "Du har aldrig defineret sikkerhed, du kan" hacke "et flip-flop-kredsløb med en tidsindstillet puls og gøre det til flop-flip, betyder det, at det er usikkert? Jeg mener mod hvem / hvad vil du beskytte dig selv.

Også kompleksitet og skala er ikke de eneste faktorer, ændringshastigheden og de tilgængelige ressourcer er også. Hvis du ser mere på koden eller langsommere ændringer og dermed mere tid til at se på koden, reducerer du også risikoen for fejl.

Hvis du reducerer kompleksitet og skala, kan du få en rebound-effekt, hvor de frigjorte ressourcer ikke bruges på bedre kodekvalitet eller mere kodevurdering, men på hurtigere iterationer. Jeg er ikke sikker på, om du ikke bare vil fremskynde løbet, har du til hensigt at løbe dine modstandere?

Jeg er heller ikke sikker på fuzzere eller smalle AI-angreb, og hvad der er sværere for dem at fordøje. Og om vi ikke ender med at have en konkurrencekode gennem stadig mere udførlige og dyre forsvarsforanstaltninger. Hvor meget computerkraft er vi villige til at ofre? Vil dette være en økonomisk kamp?

Debian har altid været meget forsigtig / bevidst meget stabil og meget pålidelig, og det er sammenligneligt let at bruge til den sikkerhed, det giver. Også samfundet er stort, så det er mere sandsynligt, at nogen bemærker shenanigans.

Hvis du ser på SEL vs GR, end der også er momentum og omkostninger ved overgang, hvis jeg skifter fra SEL til GR, vil der være en tidsramme, hvor min manglende erfaring med at konfigurere GR vil medføre et midlertidigt fald i sikkerhed. ”

Tscs37: “Med hensyn til angrebsoverflade ser du muligvis på, at Alpine Linux er" mest sikker "som standard, da den dybest set har en ikke-eksisterende angrebsflade oven på at bruge en hærdet kerne og værktøjer som standard.

På den anden side er ingen distro som standard virkelig "sikker". De er alle sårbare over for angreb på en eller anden måde. Det bedste, du kan gøre, er at vælge en, du er komfortabel med, installere en hærdet kerne, holde dig ajour med CVE'er og holde hovedet under skudlinjen. "

Boomboomsubban: “Det opretholder en stabil base og arbejder hårdt bagpå sikkerhedsløsninger, opdateringer indfører potentielle risici, som de forsøger at vente på. GRsecurity kan bruges på Debian, den patchede kerne er i repos, og du kan kompilere den selv, hvis du vil. Og deres beslutningsproces er utrolig gennemsigtig, hvilket trøster folk, hvis intet andet. ”

Jijfjeunsisheumeu: “Debian Security er bollocks af så mange grunde, lige fra brugen af ​​glibc til en ikke-hærdet værktøjskæde, der bruges til simpelthen det faktum, at der har været flere tilfælde, hvor Debians aggressive politik med patch og forking af pakker har skabt sikkerhedssårbarheder, der ikke eksisterer opstrøms.

Sidstnævnte er et rigtig stort problem, medmindre det er absolut nødvendigt, at afvige fra opstrøms er et sikkerhedsmareridt, hvor du ikke mere ved, hvilke sårbarheder ting kan eller kan have. Hvis en kritisk løsning skal være der, skal den være en bagport af en upstream-patch.

Hvis du vil bruge en Linux-kerne og ønsker sikkerhed, skal du virkelig Hardened Gentoo, der er ingen konkurrent. Ja, du kan få en lignende ting på Debian ved selv at kompilere dit system med hærdede flag, men pakkehåndtereren hjælper dig ikke. ”

Cbmuser: ”Debian arbejder konstant på hærdning. Næste trin er at aktivere -fPIE som standard og bruge et underskrevet kernebillede. Vi har gjort hærdning i et stykke tid nu.

I modsætning til Gentoo har vi allerede skiftet til gcc – 6 og har professionelle vedligeholdere til værktøjskæde, glibc og kerne (betalt af virksomheder).

Debian har reproducerbare builds og bruges i vid udstrækning på interwebs og understøttes af virksomheder som Bytemark og HP Enterprise.

Du er dårligt informeret. ”

Twiggy99999: "Hvis du læser internettet (det gør jeg), er hver distro den mest sikre, det er med Linux, at alles valgte distro er den bedste, og alle de andre" suger fyr ". På afstand er de korrekte, hver distro kunne være den mest sikre, afhængigt af hvordan den er opsat, hvad der er installeret som standard osv. Debian er okay ud af kassen, men du kan nemt gøre det meget mindre sikkert som du kan med enhver distro, men der er også ting, du kan gøre for at gøre det meget mere sikkert. Jeg synes virkelig ikke, at der er et rigtigt eller forkert svar her. ”

Passthejoe: “Jeg bruger Fedora, fordi du nemt kan kryptere en komplet Linux-installation, der er installeret som et dual-boot-system med Windows. Debian tillader kun let fuld kryptering, hvis det er den eneste SO på drevet.

Jeg siger "let", fordi jeg er sikker på, at det er muligt at gøre disse ting i Debian-installationsprogrammet, men det er sandsynligvis superhacket og ikke let.

Når det er sagt, er det meget let at udføre en fuldt krypteret Debian-installation, når det er det eneste operativsystem, og det er en fantastisk ting, der gør Debian til et godt valg for de sikkerhedsbevidste. ”

Ilikerackmonteringer: “Gentoo kan af natur at have variable compiler-flag gøre det mindre modtageligt for ROP-kæde (men bestemt men skudsikker). Det havde også en hærdet profil med hærdet brugsflag. Jeg vil dog sige en distros, at i det mindste forsøg på at hærde sig selv ville være centos / fedora / rhel med ude af boksen konfigurerede selinux-profiler.

Når det er sagt, har der været en række ydmyge snafus for alle distroer for at forhindre den dristige påstand om at være sikkerhedsfokuseret, hvis sidste har været sårbarheder inden for pakkehåndtererne.

Mere på Reddit

DistroWatch gennemgår Apricity OS 07.2016

Apricity OS er en distribution baseret på Arch Linux, der tilbyder den ICE-stedsspecifikke browser. ICE gør det nemt at integrere webapps i desktop-oplevelsen. DistroWatch har en fuld gennemgang af Apricity OS 07.2016.

Jesse Smith rapporterer for DistroWatch:

Jeg tøver med at komme med indgående udtalelser om Apricity, dets styrker og svagheder, da jeg kun fik brugt min installerede kopi af operativsystemet i en begrænset kapacitet. Næsten al min korte tid med distributionen blev brugt på at køre den fra en live disk. Når det er sagt, på trods af at min installerede kopi af Apricity ikke gav mig en desktop-session, kunne jeg mest lide det, jeg oplevede i denne uge.

Apricity havde nogle funktioner, som jeg ikke plejede. De utydelige vinduesgrænser var ikke ideelle, men det er muligt at ændre temaet og eksperimentere med forskellige skrivebordsstile. Jeg kan ikke lide at bruge Totem-medieafspilleren, men der er mange andre at vælge imellem i arkiverne.

Jeg kan godt lide, at Apricity leveres med en masse software uden meget duplikering. Der er tendens til at være et program pr. Tilgængelig opgave, og distributionen dækker mange opgaver. Alt fra spil med Steam til en produktivitetspakke til multimediecodec er inkluderet. En ny bruger kan hoppe ind i næsten alt andet end videoredigering med de tilgængelige standardapplikationer. Jeg kunne især godt lide, at Syncthing blev installeret, da det er et værktøj, som jeg håber ser mere udbredt brug, både til opsætning af sikkerhedskopier og til deling af filer.

Alt i alt kan jeg godt lide, hvad Apricity prøver at gøre. Projektet er relativt nyt og har en god start. Der er nogle uslebne kanter, men ikke mange, og jeg tror, ​​at distributionen vil appellere til mange mennesker, især dem der ønsker at køre et operativsystem med rullende frigivelse med en meget let indledende opsætning.

Mere på DistroWatch

10 store forbedringer i Android 7.0 Nougat

Android 7.0 Nougat er muligvis den bedste version af Android endnu. Men hvad adskiller det fra tidligere udgivelser af Googles mobiloperativsystem? En forfatter hos Forbes har en liste over ti store forbedringer i Android 7.0 Nougat.

Shelby Carpenter rapporterer for Forbes:

Android 7.0 Nougat er her for de fleste Nexus-ejere og vil rulle ud i løbet af det næste år for andre Android-enheder. Nougat (også kendt som Android N) kommer med en række store ændringer i forhold til Marshmallow, det sidste Android OS. Her er nogle af de største nye funktioner, du kan forvente, før du downloader:

1. Bedre batterilevetid

2. Fornyede meddelelser

3. Brug af delt skærm

4. Ny anvendelse til oversigtsknappen

5. Bedre skifter

6. Fornyet indstillingsmenu

7. Filbaseret kryptering

8. Hurtigere systemopdateringer

9. Direkte opstart

10. Datasparer

Mere hos Forbes

Gik du glip af en sammenfatning? Tjek Eye On Open-startsiden for at blive fanget med de seneste nyheder om open source og Linux.