10 лучших дистрибутивов Linux для усиленной конфиденциальности и безопасности
Дистрибутивы Linux могут быть разделены на различные категории, в зависимости от назначения и предполагаемой целевой группы. Серверы, обучение, игры и мультимедиа являются одними из популярных категорий дистрибутивов Linux.
Для пользователей, беспокоящихся о безопасности, существует несколько дистрибутивов, который предназначены для усиленной защиты приватности. Эти сборки гарантируют защиту от отслеживания вашей активности при серфинге в сети.
Тем не менее, в нашей подборке представлены не только дистрибутивы с акцентом на конфиденциальность, но и дистрибутивы для проведения тестирований вторжений. Эти сборки специально предназначены для анализа и оценки безопасности системы и сети и содержат широкий спектр специализированных инструментов для тестирования систем на потенциальные уязвимости.
Backbox
Репозитории программных решений постоянно обновляются, чтобы пользователь всегда имел дело с последними версиями встроенных инструментов, которые позволяют выполнять анализ веб-приложений, стресс-тесты, оценку потенциальных уязвимостей, привилегий и многое другое.
В отличие от других дистрибутивов, которые включают большой набор различных приложений, Backbox не содержит подобной избыточности. Здесь Вы найдете только лучшие инструменты для каждой отдельной задачи или цели. Все инструменты отсортированы по категориям, что упрощает их обнаружение.
На Википедии представлены краткие обзоры многих встроенных инструментов. Несмотря на то, что Backbox первоначально создавался исключительно для тестирования, дистрибутив также поддерживает сеть Tor, которая поможет скрыть ваше цифровое присутствие.
Вероятно, самый популярный дистрибутив для тестирования на проникновения, основанный на Debian Wheezy. Kali разработан компанией Offensive Security Ltd и является продолжением более раннего проекта BackTrack Linux.
Kali доступ в виде 32-битных и 64-битных ISO-образов, которые можно записать на USB-носитель или CD диск, или даже установить на жесткий диск или твердотельный накопитель. Проект также поддерживает архитектуру ARM и может запускаться даже на одноплатном компьютере Raspberry Pi, а также включает огромное количество инструментов анализа и тестирования. Основным рабочим столом является Gnome, но Kali позволяет создать персонализированный ISO-образ с другой средой рабочего стола. Этот гибко настраиваемый дистрибутив позволяет пользователям даже изменять и пересобирать ядро Linux, чтобы соответствовать конкретным требованиям.
Pentoo
Доступный для 32-битных и 64-битных машин, Pentoo является дистрибутивом для тестирования вторжений, который основан на Gentoo Linux. Пользователи Gentoo могут дополнительно устанавливать Pentoo, который будет инсталлироваться поверх основной системы. Дистрибутив основан на XFCE и поддерживает сохранение изменений, поэтому при отключении USB-носителя, все примененные изменения будут сохранены для будущих сессий.
Встроенные инструменты делятся на 15 различных категорий, например, Exploit, Fingerprint, Cracker, Database, Scanner и т.д. Будучи основанным на Gentoo, дистрибутив унаследовал набор защитных функций Gentoo, которые позволяют выполнять дополнительные настройки безопасности и более детально управлять дистрибутивом. Вы можете использовать утилиту Application Finder для быстрого обнаружения приложений, расположенных в различных категориях.
Поскольку дистрибутив основан на Gentoo, потребуется выполнить некоторые манипуляции, чтобы заставить работать сетевую карту и другие аппаратные компоненты. При загрузке выберите опцию проверки и настройте все ваши устройства.
Security Onion
Основанный на Ubuntu, данный дистрибутив разработан для обнаружения вторжений и мониторинга сетевой безопасности. В отличие от других дистрибутивов для пентестинга, которые носят скорее наступательный характер, Security Onion представляет собой более оборонительную систему.
Тем не менее, проект включает большое количество инструментов наступательного толка, которые встречаются в других дистрибутивах для тестирования на проникновение, а также инструменты мониторинга сети, например, сниффер пакетов Wireshark и утилита обнаружения вторжений Suricata.
Security Onion построен вокруг XFCE и включает все самые необходимые приложения, имеющиеся в Xubuntu. Security Onion не предназначен для любителей, а скорее подойдет опытным специалистам, которые имеют определенный уровень знаний в области мониторинга сети и предотвращения вторжений. К счастью проект постоянно сопровождается подробными руководствами и видеоуроками, чтобы помочь в работе с сложным встроенным ПО.
Caine
Caine является аббревиатурой от Computer Aided INvestigation Environment (среда помощи исследования компьютера). Дистрибутив распространяется с помощью Live диска и построен на последней версии Ubuntu 14.04. В качестве установщика используется SystemBack. Систему можно запустить и с локального диска после установки или с переносного USB-устройства флеш-памяти или CD. Дистрибутив стремится обеспечить дружественный интерфейс и включает богатый набор инструментов для экспертизы безопасности.
BlackArch
BlackArch является разновидностью Gentoo и позиционируется как легковесный вариант Arch Linux. BlackArch доступен как Live-образ для инсталляции, но пользователи Arch могут устанавливать BlackArch поверх существующей системы. Для создания загрузочного USB-накопителя рекомендуется использовать команду dd вместо утилиты UNetBootin.
Учетная запись по умолчанию: root:blackarch. BlackArch имеет размер более 4 гигабайт и поставляется с несколькими различными оконными менеджерами, включая Fluxbox, Openbox, Awesome.
В отличие от других дистрибутивов для тестирования на проникновение, BlackArch также может использоваться в качестве инструмента повышенной конфиденциальности. Кроме различных инструментов анализа, мониторинга и тестирования, дистрибутив также включает инструменты защиты от слежения, в частности sswap и ropeadope для безопасного стирания содержимого файла подкачки и системных журналов соответственно и многие другие программы для обеспечения приватности.
Parrot Security OS
Разработанный итальянской сетью Frozenbox, посвященной IT-безопасности и программированию, основанный на Debian, Parrot Security OS может использоваться для тестирования вторжений и поддержания конфиденциальности. Также как BlackArch, Parrot Security OS является дистрибутивом плавающего релиза. Логин по умолчанию для Live-сессии: root:toor.
Устанавливаемый Live-образ предлагает несколько опций загрузки, например, устойчивый режим или устойчивый режим с шифрованием данных. Кроме аналитических инструментов, дистрибутив включает несколько программ для анонимности и даже криптографическое ПО.
Для пользователей, которые заботятся о приватности, в дистрибутиве предусмотрена специальная категория приложений, где пользователи могут включить анонимный режим серфинга в Интернете (используются сети Tor) за один клик.
JonDo
Все встроенные приложения предварительно сконфигурированы и настроены на максимальную анонимность. Например, мессенджер Pidgin настроен на анонимную передачу сообщений. Дистрибутив включает несколько клиентов мгновенного обмена сообщениями, в частности Pidgin и TorChat и приватные браузеры JonDoFox и TorBrowser.
У проекта есть свой форум, wiki-справочник и различные руководства для пользователей, которые хотят получить максимум от встроенных приложений.
Qubes
Основанный на Fedora, Qubes доступен только для установки и предоставляет защиту конфиденциальности благодаря тотальной изоляции. Проект использует Xen для создания изолированной виртуальной машины, которая обращается только к нужным для данной конкретной функции службам, что снижает потенциальный риск угрозы. Несмотря на использование виртуализации, Qubes предлагает простой и удобный рабочий стол.
Для установки дистрибутива нужно выполнить инструкции текстового инсталлятора anaconda. Дистрибутив позволяет выбирать среду рабочего стола при установке: KDE, XFCE или обе.
Qubes предлагает стандартные инструменты управления разделами и менеджер логических томов, для запуска на некоторых машинах возможно потребуется выбрать опцию BTRFS. Процесс установки довольно сложен, особенно во время графических установщиков, но на выходе Вы получаете невероятно безопасный дистрибутив.
Tails
Также, как и JonDo, Tails Linux также поставляется с широким спектром различных приложений для работы в Интернете, которые предварительно сконфигурированы для максимальной анонимности. Вы можете выбрать устойчивый режим для сохранения всех файлов и настроек для будущих сессий при запуске Tails с USB-носителя. Согласно официальному сайту проекта, Вы можете запустить Tails даже с SD-карты.
По умолчанию дистрибутив использует сеть Tor для анонимизации всего трафика, включая данные, передаваемые браузерами, почтовыми клиентами или мессенджерами. Tails стирает все следы активности в сети и использует криптографические технологии для шифрования всех файлов, сообщений и писем.
Несколько важных плагинов, например, AdBlock Plus, NoScript и другие уже включены по умолчанию в Firefox. Последняя версия поставляется с кошельком Electrum Bitcoin и позволяет маскировать систему под Windows 8, а также визуально подделывать MAC-адрес.
Linux-дистрибутивы для анонимной работы в интернете — что нового?
Самый известный из секьюрных дистрибутивов — Tails, он выпускается с 2009 года. Там всё привычно и знакомо: вставил флэшку, загрузился, поработал, почистил RAM за собой. При этом периодически появляются альтернативные решения, такие как Whonix, Qubes OS или совсем новый дистрибутив Obscurix.
Личная безопасность — не та сфера, где следят за модой. Это не какое-то хобби, мобильная разработка или дизайн, здесь речь о сохранении жизни и свободы. Нововведения — не дань эстетике или комфорту, а попытка обеспечить ещё более надёжную защиту.
Безопасность — это анонимность
В контексте операционных систем часто говорят о некоторых специфических характеристиках «безопасных» систем:
Мы же здесь говорим о личной безопасности человека, что в принципе невозможно без гарантий анонимности. Это совсем другое. Как обсуждалось ранее, в современном мире личная безопасность напрямую зависит от анонимности, иначе никто не гарантирует вам свободу после комментариев в телеграме или финансовых транзакций. Любые действия в интернете могут быть наказуемы после принятия новых законов, имеющих обратную силу. Сейчас такое время, а дальше будет ещё хуже.
Другими словами, личная защита намного важнее, чем корпоративные, военные или национальные интересы какого-то государства. Всё-таки физическая безопасность касается конкретных живых организмов, а корпорации и государства — это абстрактные сущности, изобретённые относительно недавно, то есть они вторичны.
Именно в таком контексте безопасность рассматривают разработчики большинства защищённых дистрибутивов. В первую очередь они думают о безопасности человека, то есть о приватности, анонимности, защите от эксплоитов, слежки, деанонимизации, о надёжном шифровании.
Obscurix
Obscurix (Obscure *nix) — относительно новый проект. Операционная система пока в альфе, от неё пока не стоит ожидать стабильности.
Это «живая», загружаемая с внешнего носителя операционка на базе Arch Linux, сконфигурированная с прицелом конкретно на приватность и анонимность (исходный код, образ ISO для загрузочной флэшки). Как и положено, весь трафик безопасно направляется через Tor. Поддерживаются сети анонимайзеров I2P и Freenet (но они не выстраиваются в цепочку).
Встроенный файрвол сконфигурирован через iptables и блокирует весь входящий трафик, разрешая только исходящие соединения по Tor, I2P или Freenet (правила iptables). NetworkManager.service вообще не запускается без iptables.
Разрешениями приложений управляет линуксовый модуль AppArmor, для изоляции используются Bubblewrap и Xpra.
Исходный код Obscurix открыт, из него можно собрать такой же образ, который доступен для скачивания. В комплекте с дистрибутивом поставляются только опенсорсные программы. Единственные проприетарные фрагменты — обновления микрокода для процессоров AMD и Intel (пакеты amd-ucode и intel-ucode ), и они здесь только из вынужденной необходимости: это единственная защита от аппаратных уязвимостей типа Meltdown и Spectre.
В операционной системе установлен часовой пояс UTC, его лучше не менять, чтобы не выделять себя из общей массы пользователей. Аналогичная маскировка рекомендуется во всех сценариях поведения в интернете. Как известно, фингерпринтинг «анонимных» пользователей осуществляют по косвенным битам информации, таким как список установленных расширений, список шрифтов в операционной системе, скорость рендеринга графики (указывает на аппаратную конфигурацию компьютера), особенности набора текста на клавиатуре и т. д.
Синхронизация времени критична для анонимности. Но протокол NTP чрезвычайно уязвим, не зашифрован, не работает через Tor и выдаёт локальное время в таймстампах. Поэтому автор написал скрипт Secure Time Synchronization для более безопасной синхронизации времени.
Для сбора дополнительной энтропии в ГСЧ установлены библиотека jitterentropy и демон haveged.
Все потенциальные идентификаторы в системе обфусцированы, MAC-адреса спуфятся при загрузке, интервалы между нажатиями клавиш на клавиатуре обфусцируются с помощью инструмента kloak.
Obscurix не поддерживает VPN по причинам безопасности. При использовании Tor довольно сомнительно, что VPN обеспечивает дополнительную защиту, а не наоборот. На этот счёт ведутся дискуссии. Хотя если Tor блокируется средствами DPI на уровне провайдера, то VPN действительно помогает скрыть трафик и запустить Tor.
Усиление ядра
Защищённые дистрибутивы старательно укрепляются с точки зрения информационной защиты. В Obscurix используется hardened_malloc, специальные настройки для укрепления ядра, а некоторые защитные параметры передаются ядру через загрузчик. К примеру, вот специфические параметры выполнения ядра, которые устанавливаются утилитой sysctl :
Прозрачный прокси Tor
В защищённых дистрибутивах абсолютно весь трафик идёт через сеть анонимайзеров. Ни один пакет «случайно» не отправится по открытым каналам, так что в этом отношении можно чувствовать себя спокойно.
В Whonix работает встроенный гейт Whonix Gateway, в других приватных дистрибутивах схожий механизм.
В Obscurix обычный демон Tor отключён, а системный демон Tor открывает SocksPort на 9150, чтобы предотвратить ситуацию, когда Tor работает через Tor.
Отличия Obscurix от Tails
Obscurix похожа на Tails, но сделана на базе дистрибутива Arch, а не Debian. Отсюда и вытекают основные отличия — более тщательное усиление ядра, песочницы и аллокатора памяти, более свежие версии программ и др.
Кроме того, Obscurix не модифицирует Tor Browser, как это делают разработчики Tails, так что отпечаток браузера ничем не будет отличаться от стандартного, то есть не выдаст пользователя специального дистрибутива Linux.
Ещё одно отличие в поддержке нескольких сетей для анонимизации: кроме Tor, поддерживаются I2P и Freenet. Также поддерживаются неанонимные сети Zeronet, IPFS, cjdns для шифрования и децентрализации.
В отличие от Tails, в Obscurix отсутствует небезопасный браузер Unsafe Browser, допускающий прямое подключение в обход Tor. Таким образом, после эксплуатации какой-нибудь другой уязвимости злоумышленник может легко узнать реальный IP-адрес жертвы. Кстати, в последних версиях Tails он уже запрещён по умолчанию.
Отличия Obscurix от Whonix
Дистрибутив Whonix появился несколько лет назад, это уже реальный практический инструмент, в то время как Obscurix пока на стадии эксперимента.
Главное отличие в том, что Whonix разработан для виртуальной машины. В то же время Obscurix и Tails загружаются с флэшки в RAM и не оставляют после себя следов для компьютерной экспертизы. В случае с Whonix/VM теоретически появляются дополнительные уровни абстракции. С другой стороны, Whonix удобнее, ведь виртуальную машину можно запустить под любой ОС, включая Windows и MacOS, в любом менеджере ОС.
Whonix часто используют в связке с Qubes OS. Этот десктопный дистрибутив за качественную изоляцию VM похвалил сам Эдвард Сноуден.
На схеме далее представлен дизайн Qubes OS с установкой Whonix. Разные цвета модулей соответствуют разным уровням доверия: от чёрного (максимальное доверие) до опасного красного (USB, сетевой стек).
По сравнению с традиционными «живыми» дистрибутивами это более продвинутый подход. В связке Qubes-Whonix получается как бы двойная защита: специальный защищённый Linux-дистрибутив внутри другого специального дистрибутива с качественной изоляцией процессов. Но всё-таки загружаемые/живые дистрибутивы формально безопаснее, потому что не оставляют никаких следов на хосте (amnesiac) и даже очищают оперативную память на выходе.
С другой стороны, хотя та же Qubes OS не считается ‘amnesiac’, но здесь полнодисковое шифрование по умолчанию. То есть по факту всё равно не остаётся никаких следов, а удобства больше.
В общем, старая добрая Tails уже не одинока в арсенале свободного человека.
На правах рекламы
VDSina предлагает VDS в аренду под любые задачи, огромный выбор операционных систем для автоматической установки, есть возможность установить любую ОС с собственного ISO, удобная панель управления собственной разработки и посуточная оплата тарифа, который вы можете создать индивидуально под свои задачи.
10 лучших дистрибутивов для безопасности и конфиденциальности в 2021 году
Поскольку многие популярные операционные системы, которым мы доверяем нашу информацию, защищают нашу конфиденциальность, следя за нами.
Поэтому, если вас беспокоит ваша конфиденциальность или вы считаете, что ваша операционная система крадет ваши личные данные в Интернете без вашего разрешения, – тогда пришло время отбросить эти ОС.
Фактически операционные системы с открытым исходным кодом, я имею в виду дистрибутивы Linux становятся все более популярными среди пользователей по многим причинам.
Одной из особенностей дистрибутивов Linux является защита и конфиденциальность.
Почти все операционные системы Linux созданы, чтобы обслуживать пользователей, а не следить за личной жизнью пользователей.
Таким образом, если вы являетесь специалистом по технической технологии, вы можете начать защищать свою онлайн-конфиденциальность, просто установив любой простой дистрибутив Linux.
И если вы действительно серьезно относитесь к конфиденциальности в Интернете, тогда вы должны использовать одну из этих систем безопасности Linux, ориентированных на безопасность.
Поскольку эти операционные системы не подходят для замены настольных систем, большинству пользователей, вероятно, также потребуется использовать «обычную» операционную систему для повседневного использования, и в этом случае обязательно выполнять конфиденциальные задачи только в защищенной среде Linux.
1. Tails
Amnesic Incognito Live System (Tails) – это ориентированный на безопасность дистрибутив Linux на базе Debian.
Основным мотивом этой ОС Linux является полная анонимность Интернета для пользователей.
Tails – это действующая в режиме реального времени операционная система Linux, которую можно запускать практически на любом компьютере с DVD, USB-накопителя или SD-карты и не оставлять следов на компьютере, который вы используете, если вы не зададите его явно.
Важной особенностью Tails является то, что все исходящие соединения вынуждены проходить через Tor, а не анонимные соединения блокируются.
Проект Tor обеспечил финансовую поддержку для его развития.
Продукт поставляется с несколькими интернет-приложениями, включая веб-браузер, IRC-клиент, почтовый клиент и мессенджер, все предварительно настроенные с учетом безопасности и со всеми анонимизированными трафиками.
2. Whonix
Whonix – это другой дистрибутив Linux, основанный на конфиденциальности и безопасности, основанный на Debian GNU / Linux, который работает в сети анонимности Tor.
Операционная система состоит из двух виртуальных машин: один исключительно управляет Tor и действует как шлюз, который называется Whonix-Gateway.
Другой, который называется Whonix-Workstation, находится в полностью изолированной сети.
Whonix помогает любому, кто делает чувствительную работу на своем рабочем компьютере или в Интернете.
Возможны только соединения через Tor.
С Whonix вы можете использовать приложения и запускать серверы анонимно через Интернет.
Утечки DNS невозможны, и даже вредоносные программы с привилегиями root не могут найти реальный IP-адрес пользователя.
В отличие от Tails, Whonix не является «амнезией»; как Gateway, так и рабочая станция сохраняют свое прошлое состояние при перезагрузках.
3. Linux Kodachi
Linux Kodachi основан на операционной системе Debian GNU / Linux и построен вокруг современной среды рабочего стола GNOME.
Он предоставит вам безопасную, анти-криминалистическую и анонимную операционную систему, учитывая все функции, которые должны быть у человека, который обеспокоен неприкосновенностью частной жизни.
Kodachi также является оперативной системой защиты частной жизни с установленным подключением VPN + Tor Connection + DNScrypt.
Вся ОС функцирует от вашей временной RAM памяти, поэтому, как только вы ее отключите, никаких следов не останется, все ваши действия будут уничтожены.
4. TENS
Trusted End Node Security (TENS) – это лайв CD на базе Linux, который позволяет пользователям работать на компьютере без риска подвергать свои учетные данные и личные данные вредоносным программам, регистраторам ключей и другим проблемам интернет-времени.
Он включает в себя минимальный набор приложений и утилит, таких как веб-браузер Firefox или мастер шифрования и дешифрования личных файлов.
Л айв CD – это продукт, выпущенный Министерством обороны Соединенных Штатов Америки и является частью Инициативы по защите программного обеспечения этой организации.
5. IprediaOS
IprediaOS – это быстрая, мощная и стабильная операционная система на базе Linux, которая обеспечивает анонимную среду.
Весь сетевой трафик автоматически и прозрачно зашифрован и анонимен через I2P.
I2P – это анонимная сеть, предлагающая простой уровень, который приложения, чувствительные к идентификации, могут использовать для надежной связи.
Все данные обернуты несколькими уровнями шифрования, а сеть распределена и динамична, без доверенных сторон.
Многие приложения доступны в IprediaOS, включая почту, peer-peer, bittorrent, IRC-чат и другие.
6. Subgraph OS
Subgraph OS – основанная на Debian операционная система Linux, ориентированная на безопасность, которая направлена на борьбу с хакерскими атаками, даже на довольно маломощных компьютерах и ноутбуках.
Subgraph OS поставляется со всеми параметрами конфиденциальности и безопасности, настроенными автоматически, что исключает настройку руководства пользователя.
Защищенный дистрибутив Linux предоставляет несколько функций безопасности, анонимного просмотра веб-страниц и упрощения.
Subgraph OS использует упрочненное ядро Linux, брандмауэр приложения, чтобы блокировать определенные исполняемые файлы от доступа к сети и заставляет весь интернет-трафик через сеть Tor.
Диспетчер файлов дистрибутива имеет инструменты для удаления метаданных из файлов и интегрируется с приложением для обмена файлами OnionShare.
Клиент электронной почты Icedove настроен на автоматическую работу с Enigmail для шифрования электронной почты.
7. heads
heads – это идеальный дистрибутив Linux, который контролирует анонимность в Интернете с использованием сети Tor.
Одна из его важных особенностей заключается в том, что он использует только бесплатное программное обеспечение – это означает, что вы можете в любой момент получить доступ к любому исходному коду, который включен.
В heads все ваши интернет-трафик отправляются по Tor по умолчанию, а также есть возможность отключить его, если хотите.
8. Qubes OS
Qubes OS – это ОС на основе Fedora операционная система Linux, ориентированная на безопасность.
В отличие от других безопасных дистрибутивов Linux, Qube OS реализует подход Security by Isolation, поэтому, когда какое-либо вредоносное ПО компрометирует один из компонентов системы, оно получит доступ только к данным внутри этой среды.
Qubes использует защиту гипервизора Xen, то же программное обеспечение, на которое ссылаются многие крупные хостинг-провайдеры, изолирует веб-сайты и службы друг от друга.
Чтобы улучшить вашу конфиденциальность и анонимность в Интернете, Qube использует Whonix и Tor для фильтрации всего сетевого трафика.
Qube OS – рекомендуемый ориентированный на безопасность Linux дистрибутив многих экспертов – Эдвард Сноуден, использовал его.
9. Alpine Linux
Alpine Linux базируется на musl и BusyBox, и это единственный независимый дистрибутив Linux с ограниченным доступом для общего назначения в списке.
Он был разработан с учетом безопасности; он имеет проактивные функции безопасности, такие как PaX и SSP, которые предотвращают использование дыр в безопасности у программного обеспечения.
Кроме того, это один из самых легких дистрибутивов Linux, который требует всего не более 8 МБ, а минимальная установка на диск требует хранения около 130 МБ.
10. Discreete Linux
Discreete Linux – операционная система на базе Debian, созданная с целью защиты данных и системы от атак с помощью троянских программ.
Это один из удобных для пользователя ориентированных на безопасность Linux-дистрибутивов, предназначенных для простоты использования людьми без глубоких компьютерных знаний, но с высокими требованиями к безопасности.
Главная особенность Discreete Linux заключается в том, что она обеспечивает изолированную локальную рабочую среду, недоступную для шпионских программ, так что конфиденциальные данные могут быть обработаны, зашифрованы и сохранены надежно и защищены от таких наблюдений и шпионских атак.