Soukromí a bezpečnost jsou v dnešní době naléhavým problémem nás všech – není dne, kdy bychom nebyli bombardováni titulky bezpečnostních zpráv o hackerských útocích, narušeních a zvýšeném ukládání a sledování citlivých osobních informací vládami a společnostmi.
Naštěstí, pokud jde o bezpečnost, jsou na tom uživatelé Linuxu lépe než jejich kolegové používající Windows nebo Mac. Linux nabízí přirozené bezpečnostní výhody oproti proprietárním operačním systémům díky transparentnosti svého kódu s otevřeným zdrojovým kódem a neustálé a důkladné kontrole, kterou tento kód podstupuje ze strany živé celosvětové komunity. Ačkoli se transparentní zdrojový kód může na první pohled zdát jako noční můra pro soukromí, ve skutečnosti je tomu právě naopak. Díky tomu, že na kód systému Linux neustále dohlíží „mnoho očí“, jsou bezpečnostní chyby odhalovány a odstraňovány velmi rychle. Naproti tomu u proprietárních operačních systémů, jako jsou Windows nebo MacOS, je zdrojový kód před nezúčastněnými osobami skrytý – jinými slovy, uživatelé jsou při hledání, opravách a zveřejňování zranitelností závislí na společnosti Microsoft nebo Apple. Linux je také relativně neoblíbeným cílem záškodnických hackerů kvůli své malé uživatelské základně.
Ačkoli jsou všechny linuxové „distribuce“ – neboli distribuované verze linuxového softwaru – bezpečné už ze své podstaty, některé distribuce jdou v ochraně soukromí a bezpečnosti uživatelů ještě dál. Sestavili jsme seznam našich oblíbených výjimečně bezpečných linuxových distribucí a hovořili jsme s některými jejich hlavními vývojáři, abychom z první ruky zjistili, v čem jsou tyto distribuce tak skvělé. Cílem tohoto článku je pomoci vám zhodnotit vaše možnosti a vybrat distribuci, která nejlépe vyhovuje vašim individuálním potřebám.
Proč si vybrat specializovanou bezpečnou linuxovou distribuci?
Přestože přechod z proprietárního operačního systému na běžnou linuxovou distribuci, jako je Ubuntu, Fedora nebo Debian, může výrazně zvýšit vaše soukromí na internetu, existuje také široký výběr specializovaných linuxových distribucí pro uživatele s vážnými potřebami ochrany soukromí, jako jsou pentesteři a etičtí hackeři, jejichž práce vyžaduje, aby na internetu utajili svou identitu. Všechny tyto „bezpečné linuxové distribuce“ se intenzivně zaměřují na to, aby uživatelům poskytovaly maximální bezpečnost, soukromí a anonymitu online, a mnohé z nich obsahují technologie Tor a nabízejí působivý výběr nástrojů pro hacking, pentesting a digitální forenziku. Jak si dokážete představit, tyto vlastnosti a prostředky jsou neocenitelné při posuzování bezpečnostní infrastruktury organizace nebo při provádění bezpečnostního auditu.
Každá distribuce nabízí jedinečnou sadu funkcí a výhod navržených tak, aby vyhovovaly různým požadavkům a prioritám uživatelů. Tyto výhody jsou však spojeny s určitými kompromisy. Nejoblíbenější operační systémy a programy mají obvykle nejslabší ochranu soukromí, ale zároveň jsou kompatibilní s většinou webových stránek a nabízejí největší podporu. Zatímco některé bezpečné linuxové distribuce jsou relativně rozšířené a uživatelsky přívětivé, jiné mají strmou křivku učení, zejména pro technicky méně zdatné uživatele.
Našich 7 nejlepších linuxových distribucí pro zabezpečení, soukromí a anonymitu
Qubes OS
Qubes OS je ideální volbou pro uživatele, kteří chtějí omezit rizika rozdělením svého digitálního života. Klíčovou vlastností tohoto operačního systému je omezení rizikových aplikací do samostatných virtuálních počítačů. Více virtuálních počítačů – neboli „Qubes“ – slouží k uspořádání a oddělení systémů na „pracovní“, „osobní“, „internetové“ atd. Tyto Qubes, které jsou vhodně barevně odlišeny, aby je uživatelé mohli lépe rozlišit, jsou vysoce bezpečné a mohou zastáncům soukromí nabídnout klid ve stále invazivnějším digitálním prostředí. V důsledku tohoto rozdělení, pokud se vám stane, že si do pracovního počítače stáhnete malware, vaše osobní soubory nebudou zasaženy a naopak.
Integraci různých Qubes zajišťuje Prohlížeč aplikací, který pro uživatele vytváří iluzi, že všechny systémové aplikace se spouštějí nativně na ploše – zatímco ve skutečnosti jsou umístěny izolovaně v samostatných Qubes. Správce domény Dom0, který spravuje virtuální disky všech ostatních virtuálních počítačů, je izolován od sítě, aby se zabránilo útokům pocházejícím z infikovaného virtuálního počítače.
V rozhovoru s redaktory serveru LinuxSecurity manažer komunity operačního systému Qubes Andrew David Wong upřesnil: „Namísto snahy opravit všechny bezpečnostní chyby v softwaru společnost Qubes předpokládá, že veškerý software je chybný, a podle toho jej rozděluje, takže když jsou chyby nevyhnutelně zneužity, škody jsou omezeny a nejcennější data uživatele jsou chráněna.“ Jeho přístup „Security by Isolation“ využívající kontejnery – alias „Qubes“ – eliminuje obavy z kompromitovaných programů.
Co dělá Qubes OS tak skvělým:
- Jeho přístup „Security by Isolation“ využívající kontejnery – alias „Qubes“ – eliminuje obavy z kompromitovaných programů.
- Všechny tyto Qubes jsou integrovány do jednoho společného desktopového prostředí a barevně odlišeny, aby uživatelé měli přehled.
- Sandboxing chrání systémové komponenty.
- Qubes OS nabízí šifrování celého disku pro maximální ochranu souborů.
Tails
Tails využívá síť Tor, která je vyhlášená pro své výhody v oblasti ochrany soukromí a anonymity, a zajišťuje tak bezpečnost uživatelů online. Všechna připojení probíhají přes tuto síť – skrývají polohu uživatelů a další soukromé informace. Tails obsahuje zabezpečený prohlížeč, zabezpečeného e-mailového klienta a další bezpečné internetové nástroje. Tails je nejznámější distribucí zaměřenou na ochranu soukromí a oblíbenou volbou mezi méně technicky zdatnými bezpečnostními nadšenci.
Přispěvatel projektu Tails vysvětluje: „S Tails může kdokoli proměnit jakýkoli počítač v bezpečné prostředí bez škodlivého softwaru a schopné obejít cenzuru.“
Kromě vlastností Toru v oblasti ochrany soukromí a proti cenzuře Tails posiluje postavení uživatelů po celém světě tím, že vyvíjí a distribuuje integrovaný a bezpečný operační systém, který uživatele standardně chrání před většinou hrozeb sledování a cenzury. Distribuce poskytuje takovou úroveň zabezpečení, které jednotlivé aplikace nejsou schopny dosáhnout, protože v konečném důsledku závisí na bezpečnosti základního operačního systému.
Projekt Tails se ve velké míře spoléhá na dary a partnerství, aby si udržel svou nezávislost a mohl nadále sloužit linuxové komunitě.
Co dělá Tails tak skvělým:
- Těsná integrace se sítí Tor zajišťuje anonymitu online.
- Přiložený webový prohlížeč je předkonfigurován pro maximální zabezpečení a obsahuje doplňky jako NoScript, Ublock Origin a HTTPS Everywhere.
- Uživatelé získají přístup k Onion Circuits, cennému nástroji, který jim umožní sledovat, jak jejich počítač prochází sítí Tor.
- Taily jsou dodávány s nástrojem Aircrack-NG pro audit bezdrátových sítí.
- Operační systém je šifrovaný a navržený tak, aby mohl být spuštěn s plnou funkčností na disku USB.
- Distribuce obsahuje integrovanou peněženku Bitcoin ideální pro uživatele, kteří chtějí provádět bezpečné transakce s kryptoměnami.
Kali Linux
Kali Linux je standardní distribuce pro pentestování. Je to jedna z nejoblíbenějších distribucí mezi pentestery, etickými hackery a bezpečnostními výzkumníky po celém světě a obsahuje stovky nástrojů.
Přispěvatel Kali Linuxu poskytuje několik informací o historii této distribuce a výhodách, které uživatelům nabízí: „Kali, pojmenovaná po hinduistické bohyni, je tu s námi už dlouho – ale stále je každý týden aktualizována, lze ji spustit v živém režimu nebo nainstalovat na disk a lze ji používat i na zařízeních ARM, jako je Raspberry Pi.“
V čem je Kali Linux tak skvělý?“
- Kali Linux používá šifrování celého disku LUKS, které chrání citlivá pentestovací data před ztrátou, neoprávněnou manipulací a krádeží.
- Tato flexibilní distribuce nabízí plné přizpůsobení pomocí živého sestavení.
- Uživatelé mohou automatizovat a přizpůsobovat své instalace Kali Linuxu po síti.
- Režim „Forensics“ činí tuto distribuci ideální pro forenzní práci.
- K dispozici je školicí sada Kali Linux s názvem Kali Linux Dojo, kde se uživatelé mohou naučit přizpůsobit vlastní ISO Kali a naučit se základy pentestování. Všechny tyto zdroje jsou zdarma k dispozici na webových stránkách Kali. Kali Linux se může pochlubit také placeným kurzem pentestingu, který lze absolvovat online a jehož součástí je 24hodinová certifikační zkouška. Jakmile tuto zkoušku složíte, jste kvalifikovaným pentesterem!“
Parrot OS
Parrot OS lze považovat za plně přenosnou laboratoř pro širokou škálu operací v oblasti kybernetické bezpečnosti od pentestingu po reverzní inženýrství a digitální forenziku – tato distribuce založená na Debianu však obsahuje také vše, co potřebujete k zabezpečení svých dat a vývoji vlastního softwaru.
Parrot OS je často aktualizován a poskytuje uživatelům široký výběr možností zabezpečení a sandboxů. Nástroje distribuce jsou navrženy tak, aby byly kompatibilní s většinou zařízení prostřednictvím kontejnerových technologií, jako je Docker nebo Podman. Parrot OS je velmi lehký a běží překvapivě rychle na všech strojích – je tedy skvělou volbou pro systémy se starým hardwarem nebo omezenými zdroji.
V čem je Parrot OS tak skvělý?
- Distribuce poskytuje pentesterům a odborníkům na digitální forenzní analýzu to nejlepší z obou světů – nejmodernější „laboratoř“ s kompletní sadou nástrojů doplněnou o standardní funkce ochrany soukromí a zabezpečení.
- Aplikace, které běží na Parrot OS, jsou plně sandboxované a chráněné.
- Parrot OS je rychlý, lehký a kompatibilní s většinou zařízení.
BlackArch Linux
Tato populární pentestovací distribuce pochází z Arch Linuxu a obsahuje více než 2 000 různých hackerských nástrojů – můžete tak používat, co potřebujete, aniž byste museli stahovat nové nástroje. BlackArch Linux nabízí časté aktualizace a lze jej spustit z USB flash disku nebo CD nebo nainstalovat do počítače.
BlackArch Linux je podobný Kali Linuxu i Parrot OS v tom, že jej lze vypálit na ISO a spustit jako živý systém, ale je jedinečný v tom, že neposkytuje desktopové prostředí. Tato nadějná distribuce však nabízí velký výběr předkonfigurovaných správců oken.
V čem je BlackArch Linux tak skvělý?
- BlackArch Linux nabízí velký výběr hackerských nástrojů a předkonfigurovaných správců oken.
- Distribuce poskytuje instalátor s možností sestavení ze zdrojových kódů.
- Uživatelé mohou instalovat nástroje buď jednotlivě, nebo ve skupinách pomocí funkce modulárních balíčků.
Whonix
Někdy může být používání živého operačního systému nepohodlné – pokaždé, když jej chcete používat, musíte restartovat počítač, což je zdlouhavé a časově náročné. Instalací operačního systému na pevný disk; se však vystavujete riziku, že operační systém bude kompromitován. Whonix nabízí řešení této svízelné situace – jedná se o virtuální počítač, který funguje uvnitř bezplatného programu Virtualbox a jehož cílem je zajistit bezpečnost, soukromí a anonymitu na internetu.
Tato distribuce založená na Debianu funguje ve dvou částech – první část, známá jako Gateway, směruje všechna připojení do sítě Tor. Druhá část, označovaná jako Workstation, spouští uživatelské aplikace a může přímo komunikovat pouze s Gateway. Virtuální počítač Workstation „vidí“ pouze IP adresy v interní síti LAN, které jsou v každé instalaci Whonixu totožné. Uživatelské aplikace tedy neznají skutečnou IP adresu uživatele a nemají ani přístup k žádným informacím o fyzickém hardwaru počítače, na kterém je operační systém spuštěn. Tato rozdělená konstrukce umožňuje uživateli zůstat v naprosté anonymitě a snižuje riziko úniků DNS, které odhalují soukromé informace, například historii prohlížení webu.
Whonix nedávno přidal amnestický živý režim, který „zapomíná“ aktivity uživatele – nezanechává stopy na disku. Distribuce v současné době pracuje na vytvoření jednotné pracovní plochy. Vývojář Whonixu Patrick Schleizer vysvětluje: „Náš připravovaný Whonix-Host rozšiřuje mnoho našich funkcí použitelnosti a zpevnění na celou plochu.“
Whonix vyzývá uživatele, aby poskytli zpětnou vazbu o svých zkušenostech, a upřímně oceňuje dary a příspěvky na podporu pokračujícího úsilí projektu.
V čem je Whonix tak skvělý?“
- Whonix je dodáván s prohlížečem Tor Browser a aplikací Tox privacy instant messenger – zajišťuje plně anonymní prohlížení webu a zasílání rychlých zpráv.
- Operační systém využívá inovativní design Host/Guest, který skrývá identitu uživatele za anonymním proxy serverem a zabraňuje únikům IP a DNS.
- Distribuce obsahuje přednastavený e-mail Mozilla Thunderbird PGP.
- Linux Kernel Runtime Guard (LKRG), modul jádra, který provádí kontrolu integrity běhu jádra Linuxu za účelem odhalení bezpečnostních chyb a zneužití, lze na Whonix snadno nainstalovat.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (zkráceně Owl) je malá distribuce pro servery s vylepšeným zabezpečením, jejímž jádrem je software Linux a GNU, v současné době používaná pouze jako výzkumný model toho, jak by měl vypadat základ bezpečné distribuce. Owl je součástí projektu Openwall, který v současné době nabízí výběr aktivních projektů a služeb. Projekt Openwall byl fakticky založen v roce 1996 (ale pod současným názvem v roce 1999) známým ruským bezpečnostním vývojářem Alexandrem Pesljakem, známějším jako Solar Designer, který je známý svým výzkumem a publikacemi o zneužívání a technikách ochrany počítačové bezpečnosti.
Pro zajištění maximální bezpečnosti kombinuje Owl několik přístupů ke snížení počtu a/nebo dopadu zranitelností ve svých softwarových komponentách a dopadu chyb v softwaru třetích stran, který si uživatel může nainstalovat. Hlavním přístupem je proaktivní, důkladná kontrola zdrojového kódu na několik tříd bezpečnostních chyb. Dalšími klíčovými přístupy jsou důsledné uplatňování principu nejmenších oprávnění a zavedení oddělení oprávnění. Owl také na rozdíl od mnoha jiných distribucí v té době používal silnou kryptografii v rámci svých základních komponent a obsahuje vynucování bezpečnostních zásad prostřednictvím proaktivní kontroly hesel, řízení přístupu na základě síťové adresy a kontroly integrity a dalších cenných funkcí.
Označující vlastností Owlu je, že distribuce neobsahuje žádné uživateli přístupné binární soubory SUID, a přesto je plně funkční. Owl byl také jednou z prvních distribucí, která nabízela virtualizaci kontejnerů hned po vybalení z krabice, a to pomocí OpenVZ.
Distribuci Owl jsme do tohoto článku zařadili i přesto, že je v současné době pozastavena, protože Owl hraje od svého vzniku důležitou roli v open-source bezpečnostní komunitě. Přesto by noví uživatelé měli být při výběru Owlu a dalších již nevyvíjených distribucí obezřetní, pokud na ně nepohlížejí jako na vzdělávací příležitost nebo pokud nemají v úmyslu si z projektu vypůjčit kód a/nebo nápady.
Myslíme si, že v bezpečnostní komunitě je stále prostor pro další distribuci, jako je Owl, kterou lze použít jako základ pro budování bezpečných systémů pomocí nástrojů pocházejících z projektu Openwall, včetně John the Ripper, Linux Kernel Runtime Guard a několika technik hašování hesel.
Co dělá Owl tak skvělým?
- Owl poskytoval kompatibilitu s většinou tehdejších distribucí Linux/GNU a lze jej považovat za solidní základ pro budování systému.
- Distribuce poskytovala kompletní sestavovací prostředí schopné znovu sestavit celý systém jediným jednoduchým příkazem – „make buildworld“.
- Proaktivní kontrola zdrojového kódu chrání před několika třídami bezpečnostních chyb.
- Distribuce důsledně uplatňuje princip nejmenších oprávnění a oddělení oprávnění.
- Ústřední komponenty distribuce Owl jsou chráněny silnou kryptografií.
- Zabezpečení je vynucováno proaktivní kontrolou hesel, řízením přístupu na základě síťové adresy, kontrolou integrity a dalšími funkcemi.
- Distribuce Owl nabízí virtualizaci kontejnerů již z výroby.
- Distribuce je plně funkční, přestože nemá uživatelsky přístupné binární soubory SUID.
Přečtěte si více o koncepci Openwall.
Děkujeme společnosti Solar Designer za opravu několika klíčových chyb v části Openwall GNU/*/Linux (Owl) v dřívější verzi tohoto článku.
Závěr
Je zřejmé, že Linux nabízí širokou škálu možností distribucí pro pentestery, vývojáře softwaru, bezpečnostní výzkumníky a uživatele se zvýšeným zájmem o svou bezpečnost a soukromí na internetu. Výběr nejlepšího linuxového distra pro vlastní potřeby ochrany soukromí je otázkou rovnováhy – každé distro nabízí jiný poměr soukromí a pohodlí.
Vzhledem k vašim specifickým požadavkům a obavám je pravděpodobné, že jedna (nebo mnoho!) z výše profilovaných distribucí by pro vás mohla být skvěle vhodná – nabízí nástroje a možnosti, které v distribuci hledáte, a také jistotu, že váš systém je bezpečný a vaše soukromí je v tomto rychle se vyvíjejícím moderním prostředí digitálních hrozeb chráněno.