Privatliv och säkerhet är angelägna frågor för oss alla nuförtiden – det går inte en dag utan att vi bombarderas med säkerhetsnyhetsrubriker om hackningar, intrång och den ökade lagringen och övervakningen av känslig personlig information av regeringar och företag.
Turligtvis klarar sig Linuxanvändare bättre när det gäller säkerhet än sina Windows- eller Mac-användare. Linux erbjuder inneboende säkerhetsfördelar jämfört med proprietära operativsystem på grund av öppen källkod och den ständiga, grundliga granskning som denna kod genomgår av en livaktig global gemenskap. Även om öppen källkod till en början kan verka som en mardröm för privatlivet är det faktiskt raka motsatsen. Tack vare de ”många ögon” som Linux har på sin kod hela tiden identifieras och åtgärdas säkerhetsbrister mycket snabbt. Med proprietära operativsystem som Windows eller MacOS däremot är källkoden dold för utomstående – med andra ord är användarna beroende av Microsoft eller Apple för att hitta, åtgärda och avslöja sårbarheter. Linux är också ett relativt opopulärt mål för hackare på grund av sin lilla användarbas.
Alla Linux-distroer – eller distribuerade versioner av Linux-programvara – är säkra till sin konstruktion, men vissa distroer gör mer än vad som krävs för att skydda användarnas integritet och säkerhet. Vi har sammanställt en lista över våra favoriter bland de exceptionellt säkra Linuxdistributionsprogrammen och talat med några av deras ledande utvecklare för att ta reda på vad som gör dessa program så bra. Den här artikeln syftar till att hjälpa dig att utvärdera dina alternativ och välja den distro som bäst uppfyller dina individuella behov.
Varför välja en specialiserad säker Linux-distro?
Men även om du genom att flytta från ett proprietärt operativsystem till en vanlig Linux-distribution som Ubuntu, Fedora eller Debian kan öka din integritet på nätet avsevärt, finns det också ett brett urval av specialiserade Linux-distroer tillgängliga för användare med allvarliga integritetsbehov, som t.ex. pentekonstnärer och etiska hackare vars arbete kräver att de döljer sin identitet på nätet. Alla dessa ”säkra Linux-distributioner” har ett intensivt fokus på att ge användarna maximal säkerhet, integritet och anonymitet på nätet, och många av dem innehåller Tor-teknik och erbjuder ett imponerande urval av verktyg för hackning, pentesting och digital kriminalteknik. Som du kan föreställa dig är dessa egenskaper och resurser ovärderliga när man bedömer en organisations säkerhetsinfrastruktur eller genomför en säkerhetsrevision.
Varje distro erbjuder en unik uppsättning funktioner och fördelar som är utformade för att möta användarnas varierande krav och prioriteringar. Dessa fördelar kommer dock med vissa kompromisser. De mest populära operativsystemen och programmen har vanligtvis det svagaste integritetsskyddet, men är också kompatibla med de flesta webbplatser och erbjuder mest stöd. Medan vissa säkra Linux-distributioner är relativt vanliga och användarvänliga har andra en brant inlärningskurva, särskilt för mindre tekniskt kunniga användare.
Våra 7 bästa Linux-distributioner för säkerhet, integritet och anonymitet
Qubes OS
Qubes OS är ett idealiskt val för användare som vill minska riskerna genom att dela upp sitt digitala liv i fack. En viktig egenskap hos detta operativsystem är att högriskprogrammen begränsas till separata virtuella maskiner. Flera virtuella maskiner – eller ”Qubes” – används för att organisera och separera system kring ”arbete”, ”privat”, ”Internet” och så vidare. Dessa Qubes, som har en praktisk färgkod för att hjälpa användarna att skilja dem åt, är mycket säkra och kan ge integritetsförespråkare sinnesfrid i en alltmer invasiv digital miljö. Som ett resultat av denna uppdelning, om du råkar ladda ner skadlig kod till din arbetsmaskin, kommer dina personliga filer inte att påverkas och vice versa.
Integration av olika Qubes tillhandahålls av Application Viewer, som skapar en illusion för användaren att alla systemprogram körs nativt på skrivbordet – när de i själva verket finns isolerade i separata Qubes. Domänhanteraren Dom0, som hanterar virtuella diskar för alla andra virtuella maskiner, är isolerad från nätverket för att förhindra attacker från en infekterad virtuell maskin.
I ett samtal med LinuxSecuritys redaktörer utvecklade Andrew David Wong, Qubes OS Community Manager, följande: ”Istället för att försöka åtgärda alla säkerhetsfel i programvaran, antar Qubes att all programvara har fel och delar upp den i enlighet med detta, så att när fel oundvikligen utnyttjas begränsas skadan och användarens mest värdefulla data skyddas”. Dess ”Security by Isolation”-strategi med hjälp av behållare – även kallade ”Qubes” – eliminerar oron för komprometterade program.
Vad gör Qubes OS så bra:
- Dess ”Security by Isolation”-strategi med hjälp av behållare – även kallade ”Qubes” – eliminerar oron för komprometterade program.
- Alla dessa Qubes integreras i en gemensam skrivbordsmiljö och är färgkodade för att hjälpa användarna att hålla sig organiserade.
- Sandboxing skyddar systemkomponenter.
- Qubes OS erbjuder full-disk-kryptering för maximalt filskydd.
Tails
Tails använder Tor-nätverket, ett nätverk som är hyllat för sina fördelar när det gäller sekretess och anonymitet, för att hålla användarna säkra online. Alla anslutningar går via detta nätverk – vilket döljer användarnas plats och annan privat information. Tails levereras med en säker webbläsare, en säker e-postklient och andra säkra internetverktyg. Tails är den mest välkända distro med fokus på integritet och ett populärt val bland mindre tekniskt kunniga säkerhetsentusiaster.
En bidragsgivare till Tails Project förklarar: ”Med Tails kan vem som helst förvandla vilken dator som helst till en säker miljö som är fri från skadlig kod och som kan kringgå censur.”
Ovanpå de integritets- och censurskyddande egenskaperna hos Tor, ger Tails användare över hela världen möjlighet att använda sig av ett integrerat och säkert operativsystem som utvecklar och distribuerar ett integrerat och säkert operativsystem som som skyddar användarna från de flesta övervaknings- och censurhot som standard. Distributionen ger en säkerhetsnivå som enskilda program inte kan uppnå eftersom de i slutändan är beroende av säkerheten hos det underliggande operativsystemet.
The Tails Project är starkt beroende av donationer och partnerskap för att upprätthålla sitt oberoende och fortsätta att tjäna Linuxgemenskapen.
Vad gör Tails så bra:
- Dess nära integration med Tor-nätverket garanterar anonymitet på nätet.
- Den medföljande webbläsaren är förkonfigurerad för maximal säkerhet och innehåller tillägg som NoScript, Ublock Origin och HTTPS Everywhere.
- Användare får tillgång till Onion Circuits, ett värdefullt verktyg som gör det möjligt för dem att se hur deras dator passerar genom Tor-nätverket.
- Tails levereras med verktyget Aircrack-NG för granskning av trådlösa nätverk.
- Systemet är krypterat och utformat för att kunna köras med full funktionalitet på en USB-enhet.
- Distro har en inbyggd Bitcoin-plånbok som är idealisk för användare som vill göra säkra kryptovalutatransaktioner.
Kali Linux
Kali Linux är en branschstandard för pentestning distro. Det är en av de mest populära distroerna bland pentesters, etiska hackare och säkerhetsforskare världen över och innehåller hundratals verktyg.
En bidragsgivare till Kali Linux ger en inblick i distroens historia och de fördelar den erbjuder användarna: ”Kali har fått sitt namn efter en hinduisk gudinna och har funnits länge – men den uppdateras fortfarande varje vecka, kan köras i live-läge eller installeras på en hårddisk och kan även användas på ARM-enheter som Raspberry Pi.”
Vad gör Kali Linux så bra?
- Kali Linux använder LUKS-kryptering av hela skivan för att skydda känsliga pentestdata från förlust, manipulering och stöld.
- Denna flexibla distro erbjuder full anpassning med live-build.
- Användare kan automatisera och anpassa sina Kali Linux-installationer över nätverket.
- Läget ”Forensics” gör denna distro perfekt för forensiskt arbete.
- Det finns en Kaili Linux-utbildningssvit tillgänglig som heter Kali Linux Dojo, där användare kan lära sig att anpassa sin egen Kali ISO och lära sig grunderna i pentesting. Alla dessa resurser finns tillgängliga gratis på Kalis webbplats. Kali Linux har också en betald pentesting-kurs som kan tas online, med ett 24-timmars certifieringsprov. När du har klarat detta prov är du en kvalificerad pentester!
Parrot OS
Parrot OS kan ses som ett fullt portabelt laboratorium för ett brett spektrum av cybersäkerhetsoperationer, från pentesting till reverse engineering och digital forensics – men denna Debianbaserade distro innehåller också allt du behöver för att säkra dina data och utveckla din egen programvara.
Parrot OS uppdateras ofta och ger användarna ett brett urval av härdnings- och sandboxalternativ. Distroens verktyg är utformade för att vara kompatibla med de flesta enheter via containeriseringstekniker som Docker eller Podman. Parrot OS är mycket lätt och körs förvånansvärt snabbt på alla maskiner – vilket gör det till ett bra alternativ för system med gammal hårdvara eller begränsade resurser.
Vad gör Parrot OS så bra?
- Distro ger pentesters och experter på digital kriminalteknik det bästa av två världar – ett toppmodernt ”laboratorium” med en komplett svit av verktyg tillsammans med standardfunktioner för integritet och säkerhet.
- Användningar som körs på Parrot OS är helt sandboxade och skyddade.
- Parrot OS är snabbt, lätt och kompatibelt med de flesta enheter.
BlackArch Linux
Denna populära distro för pentestning härstammar från Arch Linux, och innehåller över 2 000 olika hackerverktyg – vilket gör att du kan använda det du behöver utan att behöva ladda ner nya verktyg. BlackArch Linux erbjuder frekventa uppdateringar och kan köras från ett USB-minne eller en CD eller installeras på din dator.
BlackArch Linux liknar både Kali Linux och Parrot OS i det avseendet att det kan brännas till en ISO och köras som ett livesystem, men är unikt i det avseendet att det inte tillhandahåller en skrivbordsmiljö. Denna nya distro erbjuder dock ett stort urval av förkonfigurerade fönsterhanterare.
Vad är det som gör BlackArch Linux så bra?
- BlackArch Linux erbjuder ett stort urval av hackerverktyg och förkonfigurerade Window Managers.
- Distro tillhandahåller ett installationsprogram med möjlighet att bygga från källkod.
- Användarna kan installera verktygen antingen individuellt eller i grupper med den modulära paketfunktionen.
Whonix
Ibland kan det vara besvärligt att använda ett live OS – man måste starta om maskinen varje gång man vill använda den, vilket är tråkigt och tidskrävande. Genom att installera ett operativsystem på din hårddisk; löper du dock risken att operativsystemet äventyras. Whonix erbjuder en lösning på detta dilemma – det är en virtuell maskin som fungerar i gratisprogrammet Virtualbox och syftar till att ge säkerhet, integritet och anonymitet på Internet.
Denna Debianbaserade distro fungerar i två delar – den första delen, känd som Gateway, dirigerar alla anslutningar till Tor-nätverket. Den andra delen, som kallas Workstation, kör användarprogram och kan endast kommunicera direkt med Gateway. Den virtuella arbetsstationen kan bara ”se” IP-adresser på det interna LAN, som är identiska i alla Whonix-installationer. Användarprogrammen har därför ingen kännedom om användarens verkliga IP-adress och de har inte heller tillgång till någon information om den fysiska hårdvaran på den maskin som operativsystemet körs på. Denna uppdelade konstruktion gör det möjligt för användaren att förbli helt anonym och minskar risken för DNS-läckor, som avslöjar privat information som t.ex. din webbhistorik.
Whonix har nyligen lagt till ett amnestiskt live-läge som ”glömmer” användarens aktiviteter – utan att lämna spår på disken. Distributionen arbetar för närvarande med att skapa en enhetlig skrivbordsupplevelse. Whonix-utvecklaren Patrick Schleizer förklarar: ”Vår kommande Whonix-Host utökar många av våra användbarhets- och härdningsfunktioner till att omfatta hela skrivbordet.”
Whonix uppmuntrar användarna att ge feedback om sina erfarenheter och uppskattar uppriktigt donationer och bidrag för att stödja projektets pågående arbete.
Vad gör Whonix så bra?
- Whonix levereras med Tor Browser och Tox privacy instant messenger-applikationen – vilket garanterar helt anonym webbsurfning och snabbmeddelanden.
- Systemet använder sig av en innovativ Host/Guest-design för att dölja användarnas identitet bakom den anonyma proxynätet och förhindra IP- och DNS-läckor.
- Distroprogrammet har förinställd Mozilla Thunderbird PGP-e-post.
- Linux Kernel Runtime Guard (LKRG), en kärnmodul som utför integritetskontroll av Linuxkärnan vid körning för att upptäcka säkerhetssårbarheter och exploateringar, kan enkelt installeras på Whonix.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (eller kort och gott Owl) är en liten säkerhetsförbättrad distro för servrar med Linux- och GNU-programvara som kärna, som för närvarande endast används som en forskningsmodell för hur grunden för en säker distribution bör se ut. Owl är en del av Openwall Project, som för närvarande erbjuder ett urval av aktiva projekt och tjänster. Openwall grundades faktiskt 1996 (men under sitt nuvarande namn 1999) av den kända ryska säkerhetsutvecklaren Alexander Peslyak, mer känd som Solar Designer, som är berömd för sin forskning och sina publikationer om exploatering och tekniker för skydd av datasäkerhet.
För att garantera maximal säkerhet kombinerar Owl flera tillvägagångssätt för att minska antalet och/eller effekten av sårbarheter i sina programvarukomponenter och effekten av brister i programvara från tredje part som en användare kan installera. Det primära tillvägagångssättet är proaktiv, grundlig granskning av källkoden med avseende på flera klasser av säkerhetssårbarheter. Andra viktiga tillvägagångssätt är en konsekvent tillämpning av principen om minsta möjliga privilegier och införande av separering av privilegier. Owl använde också stark kryptografi i sina kärnkomponenter, till skillnad från många andra distributioner vid den tiden, och innehåller säkerhetspolicygenomdrivning genom proaktiv lösenordskontroll, nätverksadressbaserad åtkomstkontroll och integritetskontroll, bland andra värdefulla funktioner.
Ett utmärkande kännetecken för Owl är att distributionen inte har några binärfiler med SUID som är tillgängliga för användaren, men ändå är fullt funktionsduglig. Owl var också en av de första distroarna som erbjöd virtualisering av behållare direkt ur lådan, med hjälp av OpenVZ.
Vi har inkluderat Owl i den här artikeln trots att distributionen för tillfället är på is på grund av den viktiga roll som Owl har spelat i säkerhetsgemenskapen med öppen källkod sedan starten. Med detta sagt bör nya användare vara försiktiga med att välja Owl och andra distroer som inte längre utvecklas om de inte ser det som en utbildningsmöjlighet eller har för avsikt att låna kod och/eller idéer från projektet.
Vi tror att det fortfarande finns utrymme i säkerhetsgemenskapen för en annan distro som Owl som kan användas som en bas för att bygga säkra system med hjälp av verktyg som har sitt ursprung i Openwall-projektet, inklusive John the Ripper, Linux Kernel Runtime Guard och flera hashteknik för lösenord.
Vad gör Owl så bra?
- Owl erbjöd kompatibilitet med majoriteten av Linux/GNU-distroerna på den tiden, och kunde ses som en solid bas för att bygga ett system.
- Distro tillhandahöll en komplett byggmiljö som kunde bygga om ett helt system med bara ett enkelt kommando – ”make buildworld”.
- Proaktiv granskning av källkoden skyddar mot flera klasser av säkerhetssårbarheter.
- Distro tillämpar konsekvent principen om minsta möjliga privilegier och separering av privilegier.
- Owls centrala komponenter skyddas med stark kryptografi.
- Säkerhetspolicyer upprätthålls med proaktiv lösenordskontroll, nätverksadressbaserad åtkomstkontroll, integritetskontroll och andra funktioner.
- Owl erbjuder containervirtualisering out of the box.
- Distro är fullt funktionsduglig, trots att den inte har några användaraccessible SUID binärer.
Läs mer om koncepten bakom Openwall.
Tack till Solar Designer för att ha korrigerat flera viktiga problem med avsnittet Openwall GNU/*/Linux (Owl) i en tidigare version av den här artikeln.
Slutsatsen
Det är uppenbart att Linux erbjuder ett stort antal distro-alternativ för pentesters, mjukvaruutvecklare, säkerhetsforskare och användare som är mer angelägna om sin säkerhet och integritet online. Att välja den bästa Linux-distro för dina egna integritetsbehov är en balansakt – varje distro erbjuder en annan balans mellan integritet och bekvämlighet.
Baserat på dina specifika krav och problem är det troligt att en (eller flera!) av de distroer som presenteras ovan kan passa dig – de erbjuder de verktyg och möjligheter du söker i en distro och ger dig trygghet i att ditt system är säkert och att din integritet är skyddad i detta moderna digitala hotlandskap som utvecklas snabbt.