Khi nào mô hình bảo mật Puppy linux có ý nghĩa?

Tôi mới dành vài giờ chơi với Puppy linux, có một số tính năng rất hay, nhưng có một số điều về cách tiếp cận bảo mật của nó (ít nhất là các cài đặt mặc định) làm tôi lo lắng:

1. Có vẻ như cách sử dụng dự định là chạy mọi thứ như root
2. Không có mật khẩu cho root (theo mặc định-- tất nhiên tôi có thể thêm mật khẩu)
3. Không có cách tự động (hoặc thậm chí là một cách đơn giản không tự động) để nhận các bản cập nhật bảo mật cho các gói, theo như tôi có thể nói. (Tôi có thể đã bỏ lỡ điều gì đó.)

Tôi luôn đánh giá cao tầm quan trọng của việc có một mật khẩu phức tạp, không duyệt internet với tư cách là quản trị viên / người dùng root và cập nhật phần mềm hệ thống (và trình duyệt và plugin) với các bản vá cho các lỗ hổng mới nhất. Tuy nhiên, mặc dù trông giống như một công thức cho thảm họa (đã nêu ở trên), Puppy đủ phổ biến để có nhiều spin-off, do đó, phải có những tình huống thiếu an ninh rõ ràng là không thành vấn đề. Họ là ai?

Puppy là một distro đồ chơi, cho người có sở thích. Đó là kịch bản duy nhất mà mô hình bảo mật Puppy (thiếu) có ý nghĩa.

Các cơ quan nghiên cứu bảo mật thông tin xuất bản các chiến lược giảm thiểu dựa trên số liệu thống kê về các cuộc xâm nhập mà họ nhìn thấy. Dưới đây là danh sách của chính phủ Úc:

http://dsd.gov.au/infosec/top-mitigations/top35mitlationstr Strategies-list.htmlm

Họ ước tính rằng theo 4 chiến lược hàng đầu sẽ ngăn chặn 85% các cuộc xâm nhập. Đó là:

1. Các ứng dụng vá ví dụ như trình xem PDF, Flash Player, Microsoft Office và Java. Vá hoặc giảm thiểu trong vòng hai ngày đối với các lỗ hổng rủi ro cao. Sử dụng phiên bản mới nhất của ứng dụng.

2. Bản vá lỗ hổng hệ điều hành. Vá hoặc giảm thiểu trong vòng hai ngày đối với các lỗ hổng rủi ro cao. Sử dụng phiên bản hệ điều hành mới nhất.

3. Giảm thiểu số lượng người dùng với các đặc quyền quản trị tên miền hoặc địa phương. Những người dùng như vậy nên sử dụng một tài khoản không có đặc quyền riêng biệt để duyệt email và duyệt web.

4. Danh sách trắng ứng dụng để giúp ngăn phần mềm độc hại và các chương trình không được chấp thuận khác chạy, ví dụ: bằng cách sử dụng Chính sách hạn chế phần mềm của Microsoft hoặc AppLocker.

Puppy thất bại trên tất cả các tính. Distro nghiêm trọng như Fedora, OpenSUSE, Debian vv là xa an toàn hơn. Tất cả các bản phân phối này đều có danh sách gửi thư bảo mật tích cực cung cấp các bản vá bảo mật kịp thời, cung cấp danh sách trắng ứng dụng thông qua AppArmor và / hoặc SELinux và tất nhiên, không chạy mọi thứ như root (trung thực, wtf?).

Nếu bạn coi trọng sự bảo mật của mình, đừng sử dụng Puppy cho bất cứ điều gì nghiêm trọng.

Hơn 30 năm lập trình bằng hàng tá ngôn ngữ từ lắp ráp đến quản trị cơ sở dữ liệu Oracle và tôi không tìm thấy gì an toàn và đáng tin cậy hơn Puppy Linux .

Giống như tất cả các hệ thống Unix / Linux, bảo mật Puppy Linux là một thế giới rất khác so với Microsoft mà hầu hết đều quen thuộc. Sự chê bai thể hiện trong các câu trả lời khác là hoàn toàn dễ hiểu mặc dù theo quan điểm của Microsoft, nhưng xuất phát từ sự thiếu hiểu biết rằng có các cách tiếp cận khác đối với bảo mật.

Nói chung, Microsoft Windows O / S cho phép truy cập đầy đủ vào mọi thứ trừ khi bị từ chối rõ ràng. Unix / Linux giả định không có quyền truy cập vào bất cứ điều gì trừ khi được cấp rõ ràng. Điều này đi một chặng đường dài trong việc ngăn chặn truy cập trái phép.

Người dùng * nix rootđược cấp quyền truy cập đầy đủ vào hầu hết mọi thứ, mặc dù thậm chí rootthường xuyên bị ngăn chặn thực hiện những việc như thực thi một tệp không có cờ cấp phép thực thi và kết nối với máy chủ khác thông qua SSH mà không cần mật khẩu hoặc chia sẻ khóa.

Không giống như Linux "bản địa", Puppy Linux đã được tối ưu hóa cho môi trường người dùng đơn lẻ . Người dùng đơn lẻ root, có toàn quyền kiểm soát máy đó và do đó có khả năng bảo mật tốt hơn khỏi những kẻ xâm nhập. Nếu bạn cần chứa nhiều người dùng, hãy thử một trong nhiều bản phân phối Linux tốt khác.

Việc sử dụng các hệ thống tập tin xếp chồng unionfs / aufs của Puppy Linux giữ cho tất cả các tệp được thay đổi gần đây trên các lớp chỉ đọc. Điều này cung cấp khả năng "hoàn tác" cho phép khôi phục toàn bộ hệ thống dễ dàng hơn với điều kiện đã biết. Như một phương sách cuối cùng, hệ thống ban đầu như được phân phối được giữ ở lớp chỉ đọc phía dưới, nơi nó có thể được khởi động lại trong khi bảo tồn các thay đổi tiếp theo ở các lớp trên.

Mặc dù hiếm khi được thảo luận, việc vá phần mềm thường xuyên là một con dao nhiều lưỡi. Các phiên bản mới phải luôn phù hợp với phần cứng hiện tại thường tạo ra sự cố khi hoạt động tương tác với phần mềm và phần cứng cũ hơn. Đó là lý do tại sao, nếu bạn muốn giữ bất cứ điều gì cập nhật, bạn phải giữ mọi thứ cập nhật.

Vá có thể là biện pháp bảo vệ khả thi duy nhất trong môi trường Microsoft, nhưng mọi Linux đều đi kèm với một hộp công cụ kỹ thuật lớn để giữ an toàn cho các hệ thống trong khi chạy trên phần cứng không phải là mới nhất và tốt nhất.

Puppy Linux chủ yếu được sử dụng bởi các lập trình viên, quản trị viên hệ thống và nhà phân tích cho nhu cầu điện toán hàng ngày của họ làm những việc như ...

• Truy cập Internet của hàng chục trang web cùng một lúc từ một số máy / người dùng.
• Phát triển phần mềm trong hầu hết mọi ngôn ngữ từng được phát minh.
• Thử nghiệm với hoán vị vô tận và kết hợp các cấu hình phần mềm.
• ... Và thậm chí kiểm tra email và phương tiện truyền thông xã hội trong khi trả lời các câu hỏi ở đây.

Mô hình Linux tiêu chuẩn, 'nghiêm túc' có thể mang lại cảm giác an toàn sai lầm, cũng như đôi lúc khá bực bội, với việc từ chối truy cập (máy tính của ai?). Do đó, cần phải chạy nhiều ứng dụng dưới dạng 'root', ngay cả khi được kết nối với www. Tình cờ, tôi đã sử dụng một chú chó con 'sống' để xé một bản cài đặt dựa trên Debian mà tôi đã cố tình 'bảo mật quá mức'. Tôi cũng đã làm điều tương tự với KolibriOS ('Hummingbird OS'), được viết bằng ~ 100% ASM, và không nhận ra 'phòng thủ' bị cáo buộc. Ví dụ, trên một phương tiện lưu trữ ngoài, được định dạng thành ext4, thư mục 'bị mất và tìm thấy' bị khóa đối với hầu hết Linuxen, nhưng không phải với Puppy.

Trong mọi trường hợp (AFAIK), vectơ / ứng dụng / tấn công tiềm năng dễ bị tổn thương nhất, trình duyệt web, thường không chạy dưới dạng 'root'. Để bảo mật, có chế độ duyệt web riêng tư, https, và tất nhiên, tường lửa và tường lửa trình duyệt web (trên cùng), đừng quên trình dọn dẹp BleachBit hùng mạnh.

Về việc thiếu các bản cập nhật, theo kinh nghiệm của tôi, MSW liên tục được cập nhật / vá, nhưng rõ ràng đây là hệ thống kém an toàn nhất; Linuxen phát hành, với bản vá liên tục của họ, sẽ bị hỏng trong khoảng một tuần hoặc lâu hơn; LTS Linuxen với tương đối ít cập nhật, 'chỉ hoạt động'; vì thế tương đối thiếu cập nhật trong Puppy (tùy theo phiên bản) có thể là một khu vực giả quan tâm, một trong đó làm phiền nghiêm túc với tôi cho đến khi tôi phát hiện ra thêm một chút.

Một tính năng bảo mật quan trọng của Puppy là (trong bản cài đặt 'tiết kiệm', được ưu tiên / khuyến nghị) mỗi phiên có thể được lưu hoặc không, đối với tệp chuẩn hoặc duy nhất, do đó có thể chạy các phiên 'bespoke' cụ thể mục đích, yêu cầu đăng xuất / đăng nhập để trở lại sử dụng 'bình thường'. Tài khoản người dùng bị hạn chế cũng có thể được thêm vào, cho các mục đích cụ thể. Cho rằng cài đặt tiết kiệm thực sự là một hệ thống 'sống', Puppy thực sự có thể an toàn hơn Linuxen 'bình thường', nếu được sử dụng đúng cách.

Người giới thiệu:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Cuối cùng, không bao giờ tham gia một diễn đàn yêu cầu đăng ký, luôn luôn sử dụng địa chỉ email 'ma'.

Như đã nêu, Puppy sử dụng một mô hình bảo mật khác (hoặc mô hình khác, nếu bạn thích) và phải được đánh giá theo kinh nghiệm, trong thế giới thực. Kinh nghiệm của tôi có thể được tóm tắt như sau:

• Debian: bị hack, với ứng dụng gọi điện về nhà.
• Slackware: bị hack.
• Arch: không bao giờ ổn định đủ lâu để bị hack.
• Windows XP: Tôi gỡ cài đặt trình điều khiển ethernet sau khi đăng ký với Microsoft. 'Nuff nói.
• OpenBSD: đã hack. Ừ tôi biết.
• DragonFlyBSD: không bao giờ xâm nhập, nếu nó chạy cả.
• FreeBSD: Cho đến nay, rất tốt. Sử dụng PF. Sử dụng dưới 8 tháng.
• Cún con: trong 6 năm, không bao giờ bị hack. Không bao giờ . Nó vẫn là bản phân phối chính của tôi khi tôi cần sự đơn giản và đáng tin cậy.

Để nhắc lại: Puppy sử dụng một mô hình khác, điều mà nhiều người tin là một mô hình an toàn vốn có. So sánh nó với Unix truyền thống, Windows hoặc ______ đang so sánh táo với cam.

Tôi đã chỉ sử dụng linux từ năm 2000 và chưa bao giờ có vi-rút bên ngoài. Tôi đã tự lây nhiễm một lần khi sử dụng ổ cứng cũ để di chuyển một số tệp. Tôi chạy Clamtkl để dọn dẹp tất cả.

Tôi đã sử dụng Puppylinux được vài năm rồi. Tôi vẫn không có vấn đề với bất kỳ loại virus nào. Người dân Windows gãi đầu như "Làm sao có thể như vậy?"

Đối với tôi nó giống như một người lái xe hỏi một người đi xe đạp, "Làm thế nào bạn có thể lái xe chỉ với hai bánh xe?"

Puppy chỉ sử dụng dbus để quản lý phiên. Vì vậy, không có gì được lan truyền như Active-x.

Tôi sử dụng ứng dụng email của Sylpheed, đây chỉ là văn bản thuần túy.

Tôi sử dụng một Opera cũ với hầu hết mọi thứ bị vô hiệu hóa. Tôi bật JS chỉ để đăng bài như tôi đang làm.

Vì tôi khởi động từ CD nên đây là một khởi đầu mới. Không có hệ điều hành trên ổ cứng của tôi.

Khi tôi khởi động, tôi có thể htop và đếm khoảng 15 quy trình. Và tôi biết tất cả bọn họ. Là gốc, không có gì ẩn khỏi mắt tôi.

Tôi đã hỗ trợ công nghệ trang web thương mại trong vài năm, vì vậy tôi không phải là người dùng máy tính thông thường.

Windows cố gắng hạn chế các tùy chọn khởi động, mã hóa ổ đĩa cứng, mã hóa hoặc chương trình băm, luôn áp dụng các bản vá bảo mật SAU khi bị nhiễm. Tuy nhiên, họ vẫn tiếp tục sử dụng Active-x và các cơ chế tương đương để truyền bá vi trùng của họ xung quanh.

Mọi người muốn nhấp vào một liên kết web mở ra một bảng tính và tất cả những thứ đó. Và mọi người khăng khăng lưu mật khẩu trong trình duyệt của họ vì nó thuận tiện hơn.

Rất nhiều người dùng windows có các thông tin đăng nhập cực kỳ phức tạp và họ không thể hiểu tại sao họ vẫn bị nhiễm virus. Đó là bởi vì phần còn lại của máy là một cánh cửa rộng mở.

Nó giống như những người sử dụng ma túy có kim tiêm "sạch" mà họ chia sẻ với bạn bè của họ.

Tôi hy vọng điều này có thể làm sáng tỏ một số hiểu lầm về an ninh và "cách con chó con".

Tôi đã nghĩ đến một tình huống trong đó một cái gì đó như Puppy Linux sẽ khá an toàn (hoặc tôi nghĩ vậy-- Tôi hoan nghênh ý kiến.) Nếu bạn chạy nó từ Live CD trên hệ thống không có thiết bị lưu trữ có thể gắn được (có nghĩa là không có ổ cứng trong hệ thống, hoặc ít nhất không phải là cái bạn từng sử dụng), ngay cả khi bạn truy cập một trang web khai thác một số lỗ hổng trên trình duyệt chưa được vá, lần sau khi bạn khởi động lại hệ thống của bạn sẽ sạch. * Tất nhiên, trong khoảng thời gian đó Khi bạn đã truy cập một trang web như vậy và khởi động lại, có thể có một số keylogger nắm bắt bất kỳ mật khẩu nào bạn nhập, vì vậy bạn sẽ phải cẩn thận, có lẽ chỉ truy cập các trang web được đánh dấu trừ khi bạn không có kế hoạch đăng nhập ở bất cứ đâu. Bạn có thể lưu tệp trên ổ flash USB,

* Tôi đã đọc về vi-rút (mặc dù rất may là chúng hiếm khi xảy ra) có thể lây nhiễm BIOS của bạn hoặc một số phần sụn khác, và nếu điều đó xảy ra thì việc khởi động lại sẽ không giúp ích gì.

sml hỏi: "Ngoài ra, bạn có thể cung cấp một liên kết đến các lực lượng cảnh sát mà đề nghị Puppy?"

Có lẽ điều này sẽ giúp: Thanh tra thám tử Bruce van der Graaf từ Đơn vị điều tra tội phạm máy tính của Cảnh sát New South Wales, khi đưa ra bằng chứng thay mặt Chính phủ New South Wales tại một phiên điều trần công khai về tội phạm mạng, đặc biệt khuyến nghị Puppy Linux là một về các phương pháp cơ bản để thực hiện các giao dịch thương mại trên internet một cách an toàn, chẳng hạn như ngân hàng trực tuyến.

Để biết chi tiết, hãy xem: http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-iNET-banking.aspx

Và thật tình cờ, không ai trong số những người liên quan đến việc tạo ra Puppy Linux coi nó như một "bản phân phối đồ chơi".

Tôi chưa bao giờ nghe nói Puppy Linux bị xâm nhập trong 6 năm sử dụng như một bản cài đặt tiết kiệm. Tôi tin rằng điều này là do Puppy chạy với hầu hết các dịch vụ đã bị tắt (thử sử dụng một trang web bảo mật web như Shields Up. Tôi đã thực hiện kiểm tra bảo mật mở rộng như một phần công việc của tôi với tư cách là Nhà giáo dục Linux và nhận thấy Puppy an toàn hơn Ubuntu Tất nhiên, nếu bạn chạy puppy như một bản remaster dưới dạng cd trực tiếp với trình duyệt được thêm rất an toàn, (không có ổ cứng được gắn trong khi trên Web). Đây là phương pháp được cảnh sát khuyến nghị lực lượng trên toàn thế giới cho một hệ thống hoàn toàn an toàn.