プライバシーとセキュリティは、最近、私たち全員にとって差し迫った懸念事項です – ハッキング、違反、政府や企業による機密個人情報の保存と監視の増加に関するセキュリティ ニュースの見出しを目にしない日はないでしょう。
幸運なことに、セキュリティに関して言えば、Linux ユーザーは Windows や Mac を使用しているユーザーよりも良好な結果を得ています。 Linux は、そのオープン ソース コードの透明性と、活気あるグローバル コミュニティによる継続的で徹底的なレビューにより、プロプライエタリな OS に対して固有のセキュリティ上の利点を提供します。 ソースコードの透明性は、一見するとプライバシーの悪夢のように思えるが、実際は全く逆である。 Linuxは常に「多くの目」でコードを見ているため、セキュリティ上の脆弱性は非常に迅速に特定され、改善されます。 これに対し、WindowsやMacOSのようなプロプライエタリなOSでは、ソースコードが部外者に隠されており、言い換えれば、ユーザーは脆弱性の発見、修正、公開をマイクロソフトやアップルに依存することになるのです。 Linux は、ユーザーベースが小さいため、悪意のあるハッカーのターゲットとしては比較的人気がありません。
すべての Linux 「ディストロ」(Linux ソフトウェアの分散バージョン)は、設計上安全ですが、ユーザーのプライバシーとセキュリティの保護に関しては、特定のディストロがそれ以上のことを行っています。 私たちは、例外的に安全な Linux ディストロのお気に入りのリストを作成し、これらのディストロがなぜそんなに素晴らしいのかを直接知るために、それらの主要な開発者の何人かと話をしました。 この記事は、あなたが選択肢を評価し、個々のニーズを最もよく満たすディストロを選択するのに役立つことを目的としています。
Why Choose A Specialized Secure Linux Distro?
Ubuntu, Fedora, Debian などの通常の Linux ディストロにプロプライエタリ OS から移行すれば、オンラインでのプライバシーが大幅に向上しますが、ペンテスタや、オンラインで自分の身元を隠すことが仕事として求められるような倫理的ハッカーたちなど、深刻なプライバシーに関するニーズのあるユーザー向けの、特別な Linux ディストロも豊富に揃っています。 これらの「安全な Linux ディストロ」はすべて、ユーザに最大限のセキュリティ、プライバシー、そして匿名性をオンラインで提供することに強く焦点を当てており、それらの多くは Tor 技術を取り入れ、ハッキング、ペンテスト、デジタルフォレンジックのツールの素晴らしいセレクションを提供しています。 ご想像のとおり、組織のセキュリティ・インフラを評価したり、セキュリティ監査を実施したりする際に、これらの特徴やリソースは非常に貴重なものとなっています。
各ディストリビューションは、ユーザーのさまざまな要件と優先事項を満たすように設計された、一連のユニークな機能と利点を提供します。 しかし、これらの利点は、いくつかのトレードオフを伴います。 最も人気のあるオペレーティング システムおよびプログラムは、一般的にプライバシー保護が最も弱いですが、大多数の Web サイトと互換性があり、最も多くのサポートを提供しています。
セキュリティ、プライバシー、および匿名性のための Linux Distros トップ 7
Qubes OS
Qubes OS は、デジタル ライフを区分けすることによりリスクを軽減しようとするユーザーにとって理想的な選択です。 このオペレーティング システムの主な特徴は、高リスクのアプリケーションを個別の仮想マシンに閉じ込めることです。 複数の仮想マシン、つまり「Qubes」を使って、「仕事」「プライベート」「インターネット」などのシステムを整理・分離する。 これらのQubeは、ユーザーが区別しやすいように色分けされており、安全性が高く、ますます侵略的なデジタル環境において、プライバシー支持者に安心感を与えることができる。 この区分の結果、万が一マルウェアを仕事用のマシンにダウンロードしても、個人用のファイルは影響を受けませんし、その逆も同様です。
さまざまな Qubes の統合は Application Viewer によって提供され、すべてのシステム アプリケーションがデスクトップ上でネイティブに実行されているかのようにユーザーに錯覚を与えますが、実際にはそれらは別々の Qubes で分離してホストされます。 Dom0ドメインマネージャーは、他の全てのVMの仮想ディスクを管理し、感染したVMから発生する攻撃を防ぐためにネットワークから隔離されています。
LinuxSecurity編集部との会話で、Qubes OSコミュニティマネージャーのAndrew David Wong氏は、「ソフトウェアのセキュリティバグをすべて修正しようとするのではなく、Qubesはすべてのソフトウェアがバグだらけだと仮定して、それに応じて区分けしています。” そのため、欠陥が必然的に利用されても被害を抑え、ユーザーの最も貴重なデータを保護することができます」と詳しく説明しています。 コンテナ – 別名「Qubes」 – を使用したその「分離によるセキュリティ」アプローチは、危険なプログラムに対する懸念を払拭します。
Qubes OS の優れた点:
- コンテナ – 別名「Qubes」 – を使用したその「分離によるセキュリティ」アプローチは、危険なプログラムに対する懸念を払拭します。
- これらのすべての Qubes が 1 つの共通デスクトップ環境に統合されて、ユーザーが整理しやすいようにカラー コードが付けられています。
- Sandboxing はシステム コンポーネントを保護します。
- Qubes OS は最大のファイル保護のためにフル ディスク暗号化を提供します。
Tails
Tails ではプライバシーと匿名の利点で有名な Tor ネットワークを使ってユーザーのオンライン安全を確保します。 すべての接続はこのネットワークを介して行われ、ユーザーの位置やその他のプライベートな情報は隠されます。 Tailsには、安全なブラウザ、安全な電子メールクライアント、その他の安全なインターネットツールが付属しています。 Tails は、プライバシーに焦点を当てた最も有名なディストロであり、あまり技術に詳しくないセキュリティ愛好家の間で人気のある選択肢です。
Tails プロジェクトの貢献者は、「Tails を使えば、誰でもどんなコンピュータでも、マルウェアから自由で検閲を回避することができる安全な環境に変えることができます」と説明しています。 このディストロは、個々のアプリケーションが最終的に基礎となるオペレーティングシステムの安全性に依存するため、達成できないレベルのセキュリティを提供します。
Tails プロジェクトは、その独立性を維持し Linux コミュニティに奉仕し続けるために、寄付とパートナーシップに大きく依存しています。
Tails の優れた点:
- Tor ネットワークとの緊密な統合により、オンラインでの匿名性を保証します。
- 同梱の Web ブラウザは、セキュリティを最大限に高めるよう事前に設定されており、NoScript、Ublock Origin、HTTPS Everywhere といったアドオンが含まれています。
- Tailsには、Aircrack-NGワイヤレスネットワーク監査ツールが付属しています。
- OSは暗号化されており、USBドライブ上でフル機能で動作するよう設計されています。
- このディストロは、安全な暗号通貨取引を行いたいユーザーにとって理想的な内蔵の Bitcoin ウォレットを備えています。
Kali Linux
Kali Linux は業界基準のペンテスト ディストロです。 世界中のペンテスター、倫理的ハッカー、およびセキュリティ研究者の間で最も人気のあるディストロの 1 つで、何百ものツールが含まれています。
Kali Linux の貢献者が、ディストロの歴史とユーザーに提供する利点について、いくつかの洞察を提供しています。 「ヒンズー教の女神にちなんで名付けられた Kali は、長い間存在してきました – しかし、いまだに毎週更新され、ライブモードで実行したり、ドライブにインストールしたりすることができ、Raspberry Pi などの ARM デバイスでも使用することができます。”
Kali Linux は何がそんなに素晴らしいのか?
- Kali Linux は LUKS フルディスク暗号化を使用して、機密のペントテスト データを損失、改ざん、盗難から保護します。
- この柔軟なディストロは、ライブビルドで完全なカスタマイズを提供します。
- ユーザーはネットワーク経由で Kali Linux インストールを自動化およびカスタマイズすることができます。
- 「フォレンジック」モードにより、このディストロはフォレンジック作業に最適です。
- Kali Linux Dojo という Kaili Linux トレーニング スイートがあり、ユーザーは自分自身の Kali ISO をカスタマイズする方法を学び、ペンテストの基本を学ぶことができます。 これらのリソースはすべて、Kali の Web サイトで無料で利用できます。 Kali Linuxは、オンラインで受講できる有料のペンテストコースを誇り、24時間の認定試験も実施されています。 この試験に合格すれば、あなたは有資格のペンテストです!
Parrot OS
Parrot OS は、ペンテストからリバースエンジニアリングやデジタルフォレンジックまで幅広いサイバーセキュリティ業務のための完全移植型ラボとして見ることができます – しかしこの Debian ベース ディストロには、データの安全性や独自のソフトウェア開発にも必要となるものがすべて含まれているのです。
Parrot OS は頻繁に更新され、ユーザーに幅広いハードニングおよびサンドボックス化オプションを提供します。 このディストロのツールは、Docker や Podman などのコンテナー化技術により、大半のデバイスと互換性があるように設計されています。 Parrot OS は非常に軽量で、すべてのマシン上で驚くほど高速に動作するため、古いハードウェアや限られたリソースのシステムにとって素晴らしい選択肢となります。
- Parrot OS が優れている理由は?
- Parrot OS 上で実行されるアプリケーションは完全にサンドボックス化され保護されます。
- Parrot OS は高速、軽量でほとんどのデバイスと互換性があります。 BlackArch Linux は頻繁に更新を行い、USB スティックや CD から実行するか、コンピュータにインストールすることができます。
BlackArch Linux は、ISO に焼いてライブシステムとして実行できる点では Kali Linux と Parrot OS に似ていますが、デスクトップ環境を提供しない点でユニークです。 しかし、この新進気鋭のディストロは、設定済みのウィンドウマネージャの大きなセレクションを提供しています。
BlackArch Linux がそんなに素晴らしいのはなぜか?
- BlackArch Linux は豊富なハッキングツールと設定済みの Window Manager を提供します。
- このディストロはソースからビルドする能力を持つインストーラーを提供します。
Whonix
時にはライブ OS を使うのは不便です – 使いたいたびにマシンを再起動しなければならず、面倒で時間のかかることです。 しかし、HDにOSをインストールすることで、OSが危険にさらされる危険性があります。 Whonix はこの苦境に対する解決策を提供します – それはフリープログラムの Virtualbox 内で動作する仮想マシンで、インターネット上でのセキュリティ、プライバシー、および匿名性を提供することを目的としています。 2つ目の部分は Workstation と呼ばれ、ユーザアプリケーションを実行し、Gateway とだけ直接通信できます。 Workstation VMは内部LAN上のIPアドレスのみを「見る」ことができ、それはすべてのWhonixインストールで同一です。 したがって、ユーザー・アプリケーションはユーザーの実際のIPアドレスを知ることができず、OSが実行されているマシンの物理的なハードウェアに関する情報にもアクセスできません。 この分割設計により、ユーザーは完全に匿名性を保つことができ、Web ブラウジングの履歴などのプライベートな情報を明らかにする DNS リークのリスクを軽減することができます。 このディストロは、現在、統一されたデスクトップ エクスペリエンスを作成するために取り組んでいます。 Whonix 開発者 Patrick Schleizer は、「私たちの次期 Whonix-Host は、私たちのユーザビリティと堅牢性の特徴の多くをデスクトップ全体に拡張します」と説明しています。
Whonix の優れた点は何でしょうか。
- Whonix には Tor ブラウザーと Tox プライバシー インスタント メッセンジャー アプリケーションが付属しており、完全に匿名の Web ブラウジングとインスタント メッセージを保証します。
- このディストロは、プリセットアップされた Mozilla Thunderbird PGP 電子メールを特徴とします。
- Linux Kernel Runtime Guard (LKRG) は、セキュリティ脆弱性と悪用を検出するために Linux カーネルのランタイム完全性チェックを実行するカーネルモジュールで、Whonix に容易にインストールすることが可能です。
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (略して Owl) は Linux と GNU ソフトウェアを中核としたサーバ用の小さなセキュリティ強化ディストロで、現在は安全なディストーションの基本がどうあるべきかという研究モデルとしてのみ使用されています。 OwlはOpenwall Projectの一部で、現在活動中のプロジェクトとサービスの一部を提供しています。 Openwall は、1996 年に、Solar Designer として知られる、著名なロシアのセキュリティ開発者 Alexander Peslyak によって事実上設立されました (ただし、現在の名前では 1999 年)。彼は、搾取とコンピュータセキュリティ保護技術に関する研究と出版で有名です。
最大のセキュリティを確保するために、Owl はソフトウェアコンポーネントにおける脆弱性の数と影響、ユーザーがインストールするサードパーティ製ソフトウェアの欠陥の影響について減らすためにいくつかのアプローチと組み合わせています。 主要なアプローチは、複数のクラスのセキュリティ脆弱性に対する積極的で徹底的なソースコードレビューです。 その他の主なアプローチは、最小特権原則の一貫した適用と、特権分離の導入です。 また、Owl は、当時の他の多くのディストロとは異なり、そのコアコンポーネント内で強力な暗号を使用し、他の貴重な機能とともに、積極的なパスワードチェック、ネットワークアドレスベースのアクセス制御、および完全性チェックによるセキュリティポリシー強制を含んでいます。 また、Owl は、OpenVZ を使用して、箱から出してコンテナ仮想化を提供する最初のディストロの 1 つです。
Owl が現在休止中であるにもかかわらず、この記事に掲載したのは、Owl がオープンソースのセキュリティコミュニティでその開始以来果たしてきた重要な役割のためです。 とはいえ、新しいユーザは、教育の機会として見ているか、プロジェクトからコードやアイデアを借りるつもりがない限り、Owl や他の開発中止のディストロを選択するのに慎重になるべきです。
私たちは、John the Ripper、Linux Kernel Runtime Guard、およびいくつかのパスワードハッシュ化技術を含む Openwall プロジェクトから生まれたツールを使用して安全なシステムを構築するための基礎として使用できる Owl のような別のディストロのための余地がセキュリティコミュニティにまだあると信じています。
- このディストロは、たったひとつの簡単なコマンド – “make buildworld” – でシステム全体を再ビルドできる完全なビルド環境を提供しました。
- ソースコードの積極的な見直しは、複数のクラスのセキュリティ脆弱性に対して防御を行います。
- Owl の中心的なコンポーネントは強力な暗号で保護されています。
- セキュリティポリシーは、積極的なパスワードチェック、ネットワークアドレスベースのアクセス制御、完全性チェックおよび他の機能によって実施されます。
Openwall の背後にある概念についてもっと読む。
Thanks to Solar Designer for corrections several key issues with the Openwall GNU/*/Linux (Owl) section of an earlier version of this article.
The Bottom Line
Pentester やソフトウェア開発者、セキュリティ研究者およびオンラインでのセキュリティやプライバシーに高い関心を持つユーザーにとって、Linux は幅広いディストロ選択肢を提供するということは明らかでしょう。 あなた自身のプライバシーの必要性のために最良の Linux ディストロを選択することは、バランスをとる行為です – それぞれのディストロは、プライバシー対利便性の異なるバランスを提供します。
あなたの特定の要件と懸念に基づいて、上記で紹介したディストロのうちのひとつ(または多く!)があなたにとって素晴らしいフィットとなる可能性があります – ディストロに探しているツールと機能を提供するだけでなく、急速に進化する現代のデジタル脅威ランドスケープにおいてあなたのシステムが安全で、あなたのプライバシーが保護されているという安心感も提供します。