A magánszféra és a biztonság manapság mindannyiunk számára sürgető kérdés – nem telik el nap, hogy ne bombáznának minket biztonsági hírekkel a hackelésekről, betörésekről és az érzékeny személyes adatok kormányok és vállalatok általi fokozott tárolásáról és megfigyeléséről.
Szerencsére, ha a biztonságról van szó, a Linux-felhasználók jobban járnak, mint Windows- vagy Mac-felhasználó társaik. A Linux a nyílt forráskódú kód átláthatósága és a folyamatos, alapos felülvizsgálat miatt, amelyen ez a kód egy élénk globális közösség által átesik, eredendő biztonsági előnyöket kínál a szabadalmaztatott operációs rendszerekkel szemben. Bár az átlátható forráskód elsőre adatvédelmi rémálomnak tűnhet, valójában épp az ellenkezője. Mivel a Linux kódját mindig “sok szem” figyeli, a biztonsági réseket nagyon gyorsan azonosítják és orvosolják. Ezzel szemben az olyan szabadalmaztatott operációs rendszereknél, mint a Windows vagy a MacOS, a forráskód el van rejtve a kívülállók elől – más szóval a felhasználók a Microsoftra vagy az Apple-re vannak utalva a sebezhetőségek megtalálásában, kijavításában és nyilvánosságra hozatalában. A Linux emellett viszonylag népszerűtlen célpont a rosszindulatú hackerek számára a kis felhasználói bázis miatt.
Míg minden Linux “disztró” – vagyis a Linux szoftverek terjesztett változatai – eleve biztonságosak, egyes disztrók a felhasználók adatainak és biztonságának védelmében még ennél is többet tesznek. Összeállítottunk egy listát a kedvenc, kivételesen biztonságos Linux disztrókról, és beszéltünk néhány vezető fejlesztőjükkel, hogy első kézből megtudjuk, mitől olyan nagyszerűek ezek a disztrók. Ennek a cikknek az a célja, hogy segítsen felmérni a lehetőségeket, és kiválasztani az egyéni igényeinek leginkább megfelelő disztribúciót.
Miért válasszon egy speciálisan biztonságos Linux disztribúciót?
Míg a szabadalmaztatott operációs rendszerről egy hagyományos Linux disztribúcióra, például Ubuntura, Fedorára vagy Debianra való áttérés jelentősen növelheti az online adatvédelmet, a komoly adatvédelmi igényű felhasználók, például pentesztelők és etikus hackerek számára, akiknek a munkája megköveteli, hogy elrejtsék az online identitásukat, szintén elérhető a speciális Linux disztribúciók széles választéka. Ezek a “biztonságos Linux disztribúciók” mindegyike nagy hangsúlyt fektet arra, hogy a felhasználók számára maximális biztonságot, magánéletet és anonimitást biztosítson online, és sokuk tartalmaz Tor technológiákat, és lenyűgöző választékot kínál a hacker, pentesztelő és digitális törvényszéki eszközökből. Elképzelhető, hogy ezek a jellemzők és erőforrások felbecsülhetetlen értéket képviselnek egy szervezet biztonsági infrastruktúrájának felmérésekor vagy egy biztonsági audit elvégzésekor.
Minden disztró egyedi funkciókat és előnyöket kínál, amelyeket úgy terveztek, hogy megfeleljenek a felhasználók eltérő igényeinek és prioritásainak. Ezek az előnyök azonban bizonyos kompromisszumokkal járnak. A legnépszerűbb operációs rendszerek és programok jellemzően a leggyengébb adatvédelmi védelemmel rendelkeznek, ugyanakkor kompatibilisek a webhelyek többségével és a legtöbb támogatást nyújtják. Míg egyes biztonságos Linux disztribúciók viszonylag elterjedtek és felhasználóbarátok, mások meredek tanulási görbével rendelkeznek, különösen a technikában kevésbé jártas felhasználók számára.
A 7 legjobb Linux disztribúciónk a biztonság, az adatvédelem és az anonimitás érdekében
Qubes OS
AQubes OS ideális választás azon felhasználók számára, akik a digitális életük felosztásával szeretnék csökkenteni a kockázatokat. Ennek az operációs rendszernek egyik legfontosabb jellemzője a nagy kockázatú alkalmazások elkülönített virtuális gépekre való korlátozása. A több virtuális gép – vagy “Qubes” – segítségével a rendszereket a “munka”, a “személyes”, az “internet” stb. köré szervezik és elkülönítik. Ezek a Qubok, amelyek színkóddal vannak ellátva, hogy a felhasználók könnyebben meg tudják különböztetni őket, rendkívül biztonságosak, és a magánélet védelmezőinek nyugalmat nyújthatnak az egyre invazívabb digitális környezetben. E felosztás eredményeként, ha véletlenül rosszindulatú programot tölt le a munkahelyi gépére, a személyes fájljai nem lesznek érintettek, és fordítva.
A különböző Qubok integrációját az Application Viewer biztosítja, amely azt az illúziót kelti a felhasználóban, hogy az összes rendszeralkalmazás natívan az asztalon fut – holott a valóságban elszigetelten, külön Qubokban vannak elhelyezve. A Dom0 tartománykezelő, amely az összes többi VM virtuális lemezét kezeli, el van szigetelve a hálózattól, hogy megakadályozza a fertőzött VM-ből kiinduló támadásokat.
A LinuxSecurity szerkesztőivel folytatott beszélgetésben a Qubes OS közösségi menedzsere, Andrew David Wong kifejtette: “Ahelyett, hogy megpróbálná kijavítani az összes biztonsági hibát a szoftverekben, a Qubes feltételezi, hogy minden szoftver hibás, és ennek megfelelően tagolja azokat, így amikor a hibákat elkerülhetetlenül kihasználják, a kár behatárolható, és a felhasználó legértékesebb adatai védettek”. A konténereket – más néven “Qubes” – használó “Security by Isolation” megközelítése kiküszöböli a veszélyeztetett programokkal kapcsolatos aggodalmakat.
Mitől olyan nagyszerű a Qubes OS:
- A konténereket – más néven “Qubes” – használó “Security by Isolation” megközelítése kiküszöböli a veszélyeztetett programokkal kapcsolatos aggodalmakat.
- Minden Qubes egyetlen közös asztali környezetbe van integrálva és színkódolással segíti a felhasználókat a rendszerezésben.
- A sandboxing védi a rendszerkomponenseket.
- A Qubes OS teljes lemezes titkosítást kínál a fájlok maximális védelme érdekében.
Tails
A felhasználók online biztonsága érdekében a Tor hálózatot használja, amely az adatvédelmi és anonimitási előnyeiről híres hálózat. Minden kapcsolat ezen a hálózaton keresztül fut – elrejtve a felhasználók tartózkodási helyét és egyéb személyes adatait. A Tails biztonságos böngészőt, biztonságos e-mail klienst és egyéb biztonságos internetes eszközöket tartalmaz. A Tails a legismertebb adatvédelmi fókuszú disztribúció, és népszerű választás a biztonsághoz kevésbé értők körében.
A Tails Project egyik munkatársa így magyarázza: “A Tails segítségével bárki bármely számítógépet biztonságos, rosszindulatú programoktól mentes és a cenzúrát megkerülni képes környezetté alakíthat.”
A Tor adatvédelmi és cenzúraellenes tulajdonságain felül a Tails egy olyan integrált és biztonságos operációs rendszer fejlesztésével és terjesztésével teszi képessé a felhasználókat világszerte, amely alapértelmezetten megvédi a felhasználókat a legtöbb felügyeleti és cenzori fenyegetéstől. A disztró olyan szintű biztonságot nyújt, amelyet az egyes alkalmazások nem képesek elérni, mivel azok végső soron az alapul szolgáló operációs rendszer biztonságától függenek.
A Tails projekt nagymértékben támaszkodik adományokra és partnerségekre, hogy megőrizze függetlenségét és továbbra is szolgálja a Linux közösséget.
Mitől olyan nagyszerű a Tails:
- A Tor hálózattal való szoros integrációja biztosítja az online anonimitást.
- A mellékelt webböngésző előre be van állítva a maximális biztonság érdekében, és olyan kiegészítőket tartalmaz, mint a NoScript, az Ublock Origin és a HTTPS Everywhere.
- A felhasználók hozzáférést kapnak az Onion Circuits-hoz, egy értékes eszközhöz, amellyel megtekinthetik, hogyan halad át a számítógépük a Tor hálózaton.
- A Tails tartalmazza az Aircrack-NG vezeték nélküli hálózati auditáló eszközt.
- Az operációs rendszer titkosított, és úgy tervezték, hogy teljes funkcionalitással fusson egy USB-meghajtón.
- A disztró beépített Bitcoin-tárcával rendelkezik, amely ideális a biztonságos kriptovaluta-tranzakciókat végrehajtó felhasználók számára.
Kali Linux
A Kali Linux egy iparági standard pentesting disztró. Ez az egyik legnépszerűbb disztró a pentesztelők, etikus hackerek és biztonsági kutatók körében világszerte, és több száz eszközt tartalmaz.
A Kali Linux munkatársa betekintést nyújt a disztró történetébe és a felhasználók számára nyújtott előnyökbe: “A hindu istennőről elnevezett Kali már régóta létezik – de még mindig hetente frissül, futtatható élő üzemmódban vagy telepíthető meghajtóra, és ARM-eszközökön, például Raspberry Pi-n is használható.”
Mitől olyan nagyszerű a Kali Linux?
- A Kali Linux LUKS teljes lemezes titkosítást használ, hogy megvédje az érzékeny penteszting adatokat az elvesztéstől, manipulálástól és lopástól.
- Ez a rugalmas disztró teljes testreszabást kínál a live-build segítségével.
- A felhasználók automatizálhatják és testre szabhatják a Kali Linux telepítését a hálózaton keresztül.
- A “Forensics” mód tökéletessé teszi ezt a disztribúciót a törvényszéki munkához.
- Egy Kaili Linux oktatócsomag is elérhető Kali Linux Dojo néven, ahol a felhasználók megtanulhatják, hogyan testre szabhatják saját Kali ISO-jukat és megtanulhatják a pentesztelés alapjait. Mindezek az erőforrások ingyenesen elérhetők a Kali weboldalán. A Kali Linux büszkélkedhet egy fizetős pentesting tanfolyammal is, amely online elvégezhető, 24 órás tanúsító vizsgával. Ha sikeresen letette ezt a vizsgát, minősített penteszterré vált!
Parrot OS
A Parrot OS tekinthető egy teljesen hordozható laboratóriumnak a kiberbiztonsági műveletek széles skálájához, a penteszteléstől a reverse engineeringig és a digitális törvényszéki vizsgálatokig – de ez a Debian-alapú disztribúció mindent tartalmaz, amire szüksége van adatai védelméhez és saját szoftverek fejlesztéséhez.
A Parrot OS gyakran frissül, és a felhasználók számára a keményítési és sandboxing lehetőségek széles választékát kínálja. A disztró eszközeit úgy tervezték, hogy a legtöbb eszközzel kompatibilisek legyenek az olyan konténerizációs technológiákon keresztül, mint a Docker vagy a Podman. A Parrot OS nagyon könnyű és meglepően gyorsan fut minden gépen – így kiváló választás a régi hardverrel vagy korlátozott erőforrásokkal rendelkező rendszerek számára.
Mitől olyan nagyszerű a Parrot OS?
- A disztró a pentesztelők és a digitális törvényszéki szakértők számára a két világ legjobbját nyújtja – egy korszerű “laboratóriumot” egy teljes eszközkészlettel, amelyet a szokásos adatvédelmi és biztonsági funkciók kísérnek.
- A Parrot OS-en futó alkalmazások teljesen sandboxoltak és védettek.
- A Parrot OS gyors, könnyű és kompatibilis a legtöbb eszközzel.
BlackArch Linux
Ez a népszerű pentesting disztró az Arch Linuxból származik, és több mint 2000 különböző hacker eszközt tartalmaz – lehetővé teszi, hogy azt használja, amire szüksége van anélkül, hogy új eszközöket kellene letöltenie. A BlackArch Linux gyakori frissítéseket kínál, és futtatható USB stickről vagy CD-ről, illetve telepíthető a számítógépre.
A BlackArch Linux abban hasonlít a Kali Linuxhoz és a Parrot OS-hez, hogy ISO-ra égethető és éles rendszerként futtatható, de abban egyedülálló, hogy nem biztosít asztali környezetet. Ez a feltörekvő disztró azonban előre konfigurált ablakkezelők nagy választékát kínálja.
Mitől olyan nagyszerű a BlackArch Linux?
- A BlackArch Linux hackereszközök és előre konfigurált Window Managers nagy választékát kínálja.
- A disztró telepítőprogramot biztosít a forrásból való építés lehetőségével.
- A felhasználók az eszközöket akár egyenként, akár csoportosan telepíthetik a moduláris csomag funkcióval.
Whonix
Néha az élő operációs rendszer használata kényelmetlen lehet – minden alkalommal újra kell indítani a gépet, amikor használni akarjuk, ami fárasztó és időigényes. Azzal, hogy telepítesz egy operációs rendszert a HD-dre; viszont fennáll a veszélye annak, hogy az operációs rendszer veszélybe kerül. A Whonix megoldást kínál erre a kényszerhelyzetre – ez egy virtuális gép, amely az ingyenes Virtualbox programon belül működik, és célja, hogy biztonságot, magánéletet és anonimitást nyújtson az interneten.
Ez a Debian-alapú disztró két részből áll – az első rész, az úgynevezett Gateway minden kapcsolatot a Tor hálózatra irányít. A második rész, amelyet munkaállomásnak neveznek, felhasználói alkalmazásokat futtat, és közvetlenül csak az átjáróval tud kommunikálni. A Workstation VM csak a belső LAN-on lévő IP-címeket “látja”, amelyek minden Whonix telepítésnél azonosak. Ezért a felhasználói alkalmazások nem ismerik a felhasználó valódi IP-címét, és nem férnek hozzá semmilyen információhoz annak a gépnek a fizikai hardveréről, amelyen az operációs rendszer fut. Ez a megosztott kialakítás lehetővé teszi a felhasználó számára, hogy teljesen anonim maradjon, és csökkenti a DNS-szivárgás kockázatát, amely olyan privát információkat tár fel, mint például a webböngészési előzmények.
A Whonix nemrégiben egy amnéziás élő üzemmóddal bővült, amely “elfelejti” a felhasználó tevékenységeit – nem hagy nyomokat a lemezen. A disztró jelenleg egy egységes asztali élmény létrehozásán dolgozik. A Whonix fejlesztője, Patrick Schleizer így magyarázza: “A hamarosan megjelenő Whonix-Host számos használhatósági és keményítő funkciónkat kiterjeszti a teljes desktopra.”
A Whonix bátorítja a felhasználókat, hogy adjanak visszajelzést a tapasztalataikról, és őszintén értékeli az adományokat és hozzájárulásokat a projekt folyamatos erőfeszítéseinek támogatására.
Mitől olyan nagyszerű a Whonix?
- A Whonix a Tor böngészővel és a Tox privacy azonnali üzenetküldő alkalmazással érkezik – teljesen anonim webböngészést és azonnali üzenetküldést biztosít.
- Az operációs rendszer innovatív Host/Guest kialakítást alkalmaz, hogy a felhasználók identitását az anonim proxy mögé rejtse, és megakadályozza az IP és DNS szivárgást.
- A disztró előre beállított Mozilla Thunderbird PGP e-mailt tartalmaz.
- A Whonixra könnyen telepíthető a Linux Kernel Runtime Guard (LKRG), egy kernelmodul, amely a Linux kernel futásidejű integritásának ellenőrzését végzi a biztonsági sebezhetőségek és kihasználások felderítése érdekében.
Openwall GNU/*/Linux (Owl)
Az Openwall GNU/*/Linux (vagy röviden Owl) egy kis, Linux és GNU szoftvereket tartalmazó, biztonsággal kibővített disztribúció szerverek számára, amelynek magját jelenleg csak kutatási modellként használják, hogy milyen legyen egy biztonságos disztribúció alapja. Az Owl az Openwall Project része, amely jelenleg aktív projektek és szolgáltatások választékát kínálja. Az Openwallt ténylegesen 1996-ban (de jelenlegi nevén 1999-ben) alapította a neves orosz biztonsági fejlesztő, Alexander Pesljak, ismertebb nevén Solar Designer, aki a kizsákmányolási és számítógépes biztonsági védelmi technikákkal kapcsolatos kutatásairól és publikációiról híres.
A maximális biztonság érdekében az Owl többféle megközelítést kombinál, hogy csökkentse a szoftverkomponensekben lévő sebezhetőségek számát és/vagy hatását, valamint a felhasználó által telepíthető harmadik féltől származó szoftverekben lévő hibák hatását. Az elsődleges megközelítés a proaktív, alapos forráskód-ellenőrzés a biztonsági sebezhetőségek több osztályára vonatkozóan. További kulcsfontosságú megközelítés a legkisebb jogosultság elvének következetes alkalmazása és a jogosultságok szétválasztásának bevezetése. Az Owl erős kriptográfiát is alkalmazott az alapkomponenseken belül, ellentétben sok más disztribúcióval abban az időben, és tartalmaz biztonsági irányelvek érvényesítését proaktív jelszóellenőrzéssel, hálózati cím alapú hozzáférés-ellenőrzéssel és integritás-ellenőrzéssel, más értékes képességek mellett.
A Owl megkülönböztető jellemzője, hogy a disztribúció nem rendelkezik a felhasználó által elérhető SUID binárisokkal, mégis teljesen működőképes. Az Owl volt az egyik első olyan disztró is, amely a dobozból kivéve konténervirtualizációt kínált, az OpenVZ használatával.
Az Owl annak ellenére szerepel ebben a cikkben, hogy a disztró jelenleg szünetel, mert az Owl fontos szerepet játszik a nyílt forráskódú biztonsági közösségben a megalakulása óta. Ennek ellenére az új felhasználóknak óvatosnak kell lenniük az Owl és más, már nem fejlesztett disztribúciók kiválasztásában, hacsak nem oktatási lehetőségként tekintenek rá, vagy nem szándékoznak kódot és/vagy ötleteket kölcsönözni a projektből.
Hisszük, hogy a biztonsági közösségben még mindig van hely egy másik, az Owl-hoz hasonló disztró számára, amely alapul szolgálhat biztonságos rendszerek építéséhez az Openwall projektből származó eszközök felhasználásával, beleértve a John the Ripper-t, a Linux Kernel Runtime Guard-ot és számos jelszóhasító technikát.
Mitől olyan nagyszerű az Owl?
- Az Owl kompatibilitást biztosított az akkori Linux/GNU disztrók többségével, és szilárd alapnak tekinthető egy rendszer építéséhez.
- A disztró egy teljes építési környezetet biztosított, amely képes volt egy egész rendszer újraépítésére egyetlen egyszerű paranccsal – “make buildworld”.
- A forráskód proaktív felülvizsgálata védelmet nyújt a biztonsági sebezhetőségek több osztálya ellen.
- A disztró következetesen alkalmazza a legkisebb jogosultság elvét és a jogosultságok szétválasztását.
- AzOwl központi komponensei erős kriptográfiával védettek.
- A biztonsági irányelveket proaktív jelszóellenőrzéssel, hálózati cím alapú hozzáférés-ellenőrzéssel, integritás-ellenőrzéssel és más képességekkel érvényesítik.
- AzOwl a dobozból kivéve konténervirtualizációt kínál.
- A disztró teljesen működőképes, annak ellenére, hogy nincs felhasználó által elérhető SUID bináris.
Többet olvashat az Openwall mögötti koncepciókról.
Köszönjük a Solar Designer-nek, hogy kijavította a cikk egy korábbi verziójának Openwall GNU/*/Linux (Owl) szakaszának több kulcsfontosságú problémáját.
A végeredmény
Látható, hogy a Linux számos disztró lehetőséget kínál a pentesztelők, szoftverfejlesztők, biztonsági kutatók és az online biztonságuk és magánéletük iránt fokozottan aggódó felhasználók számára. A saját adatvédelmi igényeinknek legmegfelelőbb Linux disztró kiválasztása egyensúlyozás – minden disztró más-más egyensúlyt kínál az adatvédelem és a kényelem között.
A sajátos követelményei és aggályai alapján valószínű, hogy a fent bemutatott disztribúciók közül valamelyik (vagy akár több is!) nagyszerű választás lehet az Ön számára – a disztribúcióban keresett eszközöket és képességeket kínálja, valamint a nyugalmat, hogy a rendszere biztonságos és a magánéletét védi a gyorsan fejlődő modern digitális fenyegetettségi környezetben.