Агентство национальной кибербезопасности Франции опубликовало (https://www.gentoo.org/news/2018/10/04/clip-os.html) исходные тексты проекта CLIP OS (https://clip-os.org/en/), в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы (https://docs.clip-os.org/) наработки Gentoo Hardened (https://wiki.gentoo.org/wiki/Hardened_Gentoo) с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты (https://github.com/clipos) в основном под свободной лицензией LGPLv2.1+.
В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается (https://github.com/clipos-archive/clipos4_doc) с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.
Исполняемые и системные файлы в дистрибутиве отделены от изменяемых данных (корневой раздел монтируется в режиме только для чтения, а изменяемые каталоги выборочно подключаются при помощи bind-монтирования). Также применяется многоуровневая система доступа, разграничивающая обработку информации с разными уровнями конфиденциальности. Разделение осуществляется путём поддержания разных окружений, выполняемых в изолированных контейнерах, используя подход, напоминающий Qubes OS.
Прямое взаимодействие между окружениями запрещено. Каждый контейнер имеет доступ только к разрешённому набору данных и ограничен доступном только к необходимым системным вызовам. Для дополнительной изоляции контейнеров применяются патчи от проекта Landlock (https://landlock.io/). Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы. Графическое окружение построено на основе композитного сервера на базе Wayland. Для изоляции отдельных приложений также предлагается использовать Flatpak.
Загружаемые компоненты ОС и модули ядра верифицируются по цифровой подписи с использованием загрузки в режиме UEFI Secure Boot. В дистрибутиве организована проверка целостности файлов и связанных с ними метаданных по базе предварительно вычисленных хэшей. Целостность корневого раздела проверяется при помощи подсистемы DM-Verity. Обновление производится в атомарном режиме путём замены корневого раздела (новая версия копируется в запасной раздел, который затем делается активным, старый вариант остаётся для следующего обновления и может применяться для отката изменений).Администратор имеет ограниченные права и не может скомпрометировать уже установленную систему и также не имеет доступа к данным пользователей. Доступ администратора ограничен возможностью изменения только определённого набора настроек. На разделах с данными применяется шифрование и верификация целостности (LUKS2, DM-Crypt и DM-Integrity). Опционально возможно шифрование и системных разделов.
Запуск исполняемого кода и скриптов ограничен только разрешёнными компонентами (используется патч O_MAYEXEC (https://github.com/clipos-archive/src_platform_clip-patches/...)). По умолчанию для защиты процессов применяется механизм защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение (код может быть исполнен только после запрещения записи, а запись возможна только после запрета исполнения).
Предоставлены инструменты для версифицирвоанной сборки установочных образов из исходных текстов. Готовые установочные сборки не формируются, вместо них по аналогии с Gentoo предлагается собирать пакеты из исходных текстов. Процесс сборки повторяем, т.е. можно убедиться, что используемые исполняемые файлы собраны именно из имеющихся исходных текстов.Для установки приложений используются (https://github.com/clipos/src_portage_clipos) портреджи Gentoo, но также развивается прослойка (https://github.com/clipos/assets_debian) для поддержки пакетов из репозиториев Debian. По умолчанию при сборке портреджей включаются все доступные опции для повышения безопасности на этапе сборки (сборка в виде PAE, режимы защиты от переполнения стека и проверки границ буферов). В дистрибутиве также задействованы патчи для усиления безопасности ядра Linux и активированы MAC-расширения SELinux.
Дополнительно можно отметить, что сегодня исполнилось ровно 19 лет с момента основания проекта Gentoo Linux.
URL: https://www.gentoo.org/news/2018/10/04/clip-os.html
Новость: https://www.opennet.me/opennews/art.shtml?num=49395
> Администратор имеет ограниченные праваЯ так не играю...
Дистрибутив он тов. майора Франции - норм тема, надо ставить! ;-)
С закладками от тов. майора АНБ на базе хромоси.
Выиграли ЧМ по футболу 2018 - теперь спасайте мир тоже сами :-)
А я, наоборот, давно жду, когда из рабочей системы выкинут рута, как самую большую дыру.
> А я, наоборот, давно жду, когда из рабочей системы выкинут рута, как самую большую дыру.Ты смотри поаккуратнее. А то тебя и в окно могут выкинуть ..
Виндузятники уже пытались, когда предложил им не работать под администраторской учеткой.
Я бы тебя выбросил. Задолбали ламеры.
Приходит один такой ламер "ааааа, рууут, ты сидишь по рутом, рууууут".
На вопрос обосновать следует овтет "бе, ме". Говорит можно всё удалить случайно, потом вводит на своём ноутбуке rm -rf --no-preserve-root / и удаляет всё науй, забыл товарищ что сам зашёл под судкой.
>> Администратор имеет ограниченные права
> Я так не играю...Ничто не ново под Луной.
# sysctl security.bsd.suser_enabled:0
# sysctl -d security.bsd.suser_enabled
security.bsd.suser_enabled: processes with uid 0 have privilegecommit 754ad10054ccaf7af4888582e460d771052e0077
Author: rwatson <rwatson@FreeBSD.org>
Date: Wed Dec 5 18:49:20 2001 +0000o Make kern.security.bsd.suser_enabled TUNABLE.
man securelevel
-1 Permanently insecure mode - always run the system in insecure mode.
This is the default initial value.0 Insecure mode - immutable and append-only flags may be turned off.
All devices may be read or written subject to their permissions.1 Secure mode - the system immutable and system append-only flags may
not be turned off; disks for mounted file systems, /dev/mem and
/dev/kmem may not be opened for writing; /dev/io (if your platform
...3 Network secure mode - same as highly secure mode, plus IP packet
filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
changed and dummynet(4) or pf(4) configuration cannot be adjusted.The security manual page was originally written by Matthew Dillon and
first appeared in FreeBSD 3.1, December 1998
Это круче, чем отечественная астра с её мандатным контролем, или так, побаловаться?
Исходного кода Астры никто кроме разработчиков не видел, а вот когда проблемы с безопасностью там вскрываются, то они выглядят нелепо. Писали похоже студенты на коленке, никто их не контролировал и не проверял.
Можешь сам посмотреть. Покупиешь -> делаешь запрос на исходники -> смотри сколько хочешь
Так вот как продают астру
У всех этих Qubes нет ответа на вопрос как быть с документами разной конфиденциальности, иметь в каждом контейнере повторяющийся набор приложений?
А как с ними работать если нужно из контейнера с одной конфиденциальностью перенести кусок в другой, по идее по направлению усиления конфиденциальности можно. не руками же все перепечатывать, но как?.
Ватковская на это уже наступала и тут нет ответа на вопрос.
> иметь в каждом контейнере повторяющийся набор приложений?Да. Почему нет?
Потому как нет ответа на второй вопрос. Как взять данные из относительно открытого источника и засунуть в супер конфиденциальный. Это нужно и для формирования супер крутого отчета который берет часть открытых данных и для банального копипаста между документами.
А что, там разве нет какого-нибудь навороченного буфера обмена с аутентификацией и прочими блэкджеками? Это же базовая часть такой системы, если подумать.
Там есть, просто кто-то тут из тех, кто не знает, но мнение свое высказать нужно, даже если оно 4.2 на 146%.
Вы тестировали именно этот дистр?
поделитесь как оно там
Я про Qubes. Там есть инструменты для копирования файлов между вм, открытия файла в одноразовой вм, буфер обмена, загрузка обновлений через другую вм, запрос к gpg в другой вм и прочее.
В Qubes ОS утилиты есть для копирования файлов между VM, ты бы знал это, если бы почитал документацию.
Туда их добавили по моему в 3 реинкарнацию. О добавке этого сюда пока нигде не сказано.
Уже четвертая вышла в начале года.
> О добавке этого сюда пока нигде не сказано.Естественно не сказано. Это новость, а не документация. Искать ответа на вопрос "как там организована передача данных между окружениями" надо не в новости, а в документации и на тематических ресурсах. Новость она не для того, чтобы сделать тебя специалистом в области, она для того, чтобы ты знал куда ещё нужно заглянуть, чтобы стать специалистом, или продолжить им быть.
>>как быть с документами разной конфиденциальностиага хранить их на своем компе? спецам из франции не знакомы дисклесс системы?
пс: для документов с разной конфиденциальностью используют "системы документ-оборота"
Просто -- отказ, на уровне персистентности, от понятия и концепции "документа" вообще. Документ это представление, компиляция из источников с разным уровнем доступа.
>Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы.Это если нет эксплуатации уязвимости в ядре ...
А бэкдор входит в комплект поставки? Или полагаются на Intel ME?
конечно входит, и не один - в этой мегаусложненной херне ты даже и не заметишь, что все твои данные читаются два раза - первый когда ты их читаешь, и второй когда сохраняешь.для того всю эту мусорную пирамиду размером с хеопсовую и возводили.
По описанию выглядит очень вкусно. Особенно если сможет конкурировать с Qubes. Последняя слишком изкоробочная, для хомячков, и пилится виндузятниками. Состав dom0 и темплейтов - помойка.
Раз у _элиты_ бомбит, захотелось попробовать этот кубес
Наконец-то ультра-революционная ОС оказалась не пшиком (перепакованная убунта с 2 новыми пакетами), а действительно ультра-революционной!
https://github.com/clipos/src_portage_cliposТут как бы вообще пакетов не вижу.
clipos-meta - три метапакета:
clipos-core "Meta ebuild for everything that should be in the Core root."
clipos-efiboot "Configuration for everything that should be in the initrd & EFI partition"
clipos-sdk "Meta ebuild for the CLIP SDK."Где запрятали всё?
> Наконец-то ультра-революционная ОС оказалась не пшиком (перепакованная убунта с 2 новыми
> пакетами), а действительно ультра-революционной!И дважды "ультра-революционной!" её делает то, что она не убунта, а [U] гента [/U] [I]!
А когда такая же или подобная инициатива с секурным дистром дойдёт до того, что в каждом отдельном окружении нужен не только свой отдельный набор либ и программ, но и свои отдельные инстансы модулей и драйверов ядра (но не целое отдельное ядро в каком-нить KVM) - то все бодро выскажут своё одобрямс, не заметив, что одобрили микроядро...
В Qubes примерно так и есть.>не заметив, что одобрили микроядро...
А когда его не одобряли?
Ну, это вопрос, статистики, конечно.
В правом хвосте нормального распределения люди "за". Но остальная масса...
Если даже в этой теме попиарить защищённость микроядерной модели ядра - можно увидеть сколько кого.
Выборка покажет противников не микроядра, а пустого пиара.
гибридное ядро в виртуалке не есть микроядро.
предпочитаю наши российские защищенные дистры. сами подумайте какого качества зонды в них встроены и вообще заморачивается ли кто-то чтением инфы с них.
Вы и приседать на бутыль сами предпочитаете.
>качестваВозможно
>заморачивается ли кто-то
Не от делать нечего то точно, но когда план, мало не покажется, в отличие от стран где на вертолетах из учреждений сбегают.
Ай, кто-нибудь знаки пунктуации расставьте выше.
Свалили в одну кучу всё что связано с безопасностью.
Оно хоть работать будет (в продакшене), не задаваясь вопросом об юзабилити и мэйнтейнинге? :-Dp.s s/кучу/помойку/
p.p.s и все нагромождения обрушит очередной MeltDown
наработки Gentoo Hardened.., без grsec ядра оно нафиг не нужно.
А может они платные подписчики. Или после судов grsec вообще теперь всё?
> Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened
> Для установки приложений используются портеджи GentooКруто!