The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.09.2012 22:18  Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой режима безопасной загрузки UEFI

Увидел свет LiveUSB-дистрибутив Liberté Linux 2012.3, построенный на основе Gentoo Linux (Hardened), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в одно нажатие устанавливается на USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor. Размер загрузочного образа 213 Мб.

Liberte Linux 2012.3 является первым дистрибутивом Linux в котором обеспечена поддержка режима безопасной загрузки UEFI, что позволяет добиться полной верификации всех компонентов дистрибутива, но только взаимодействующих с оборудованием и обеспечивающих загрузку ОС. Например, помимо формирования подписи для загрузчика GRUB, файлов конфигурации GRUB, ядра Linux и всех загружаемых ядром драйверов и модулей, предусмотрена возможность проверки и сжатого образа корневой ФС (rootfs).

Таким образом гарантируется неизменность всех составных частей live-дистрибутива, защищая пользователя от подмены данных и включения закладок при установке на USB-накопитель или жесткий диск. Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию. Примечательно, что при отсутствии поддержки безопасной загрузки UEFI оборудованием, стадия проверки целостности корневой ФС выполняется дистрибутивом и при загрузке с использованием обычного BIOS.

Особенности организации работы дистрибутива:

  • Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE.
  • Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий;
  • Все приложения сконфигурированы и готовы к использованию. Дистрибутив достаточно легко переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ;
  • Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened, который включает такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;
  • Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;
  • Максимально урезаны передаваемые по DHCP параметры, блокируется передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;
  • Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);
  • Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.
  • Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;
  • Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки.

Изменения в новой версии:

  • Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
  • Обновление ядра Linux до версии 3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
  • Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
  • Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима (перенаправление всего трафика через Tor)'
  • В состав включена утилита reaver-wps для проверки безопасности WiFi сетей;
  • В GnuPG добавлена поддержка PKCS#11;
  • Проведена унификция визуальных тем для GTK-2 и GTK-3.


  1. Главная ссылка к новости (http://forum.dee.su/#Topic/656...)
  2. OpenNews: Доступен BackTrack 5 R2, Live-дистрибутив для исследования безопасности систем
  3. OpenNews: Опубликован новый план реализации поддержки режима безопасной загрузки UEFI в Ubuntu
  4. OpenNews: На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot
  5. OpenNews: Лидер проекта OpenBSD выступил с критикой добавления поддержки режима безопасной загрузки UEFI в Ubuntu и Fedora
  6. OpenNews: Озвучены планы по поддержке в SUSE режима безопасной загрузки UEFI
Лицензия: CC-BY
Тип: Программы
Ключевые слова: linux, gentoo, security, privacy, liberte
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 00:13, 03/09/2012 [ответить] [смотреть все]     [к модератору]
  • +4 +/
    А вы Fedora, Ubuntu ... весь текст скрыт [показать]
     
     
  • 2.8, Vascom, 11:20, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    В Fedora ненужно будет устанавливать ключи в прошивку UEFI Всё сразу будет рабо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Рыба, 16:30, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Нужно Просто за пользователя их туда установит микрософт с сообщниками Не лучш... весь текст скрыт [показать]
     
     
  • 4.32, loglog, 23:24, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Им не понять Проще громче кричать Микрософт это наше все И производители т... весь текст скрыт [показать]
     
  • 1.2, Аноним, 00:40, 03/09/2012 [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    Вообще-то, dhcp-клиент dhcp-сервер, впрочем, тоже работает уровнем ниже iptabl... весь текст скрыт [показать]
     
     
  • 2.4, ABATAPA, 08:00, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Бред.
     
     
  • 3.5, Анонимец, 08:35, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Не совсем так iptables работает только с IP пакетами, в то время как dhcp клиен... весь текст скрыт [показать]
     
     
  • 4.44, Аноним, 18:53, 05/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Попробуйте зафильтровать порты 67 68 UDP и расскажите как понравился результат ... весь текст скрыт [показать]
     
     
  • 5.54, Аноним, 22:49, 06/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Зафильтровано и работает. Дальше что?
     
  • 3.9, anonymous, 11:50, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Попробуйте зафильтровать dhcp и удивитесь raw-сокеты iptables ом не фильтруются... весь текст скрыт [показать]
     
     
  • 4.10, bircoph, 12:03, 03/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А почему у меня фильтруются?
     
     
  • 5.17, Аноним, 14:47, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Потому что вы где-то слажали и что-то перепутали ... весь текст скрыт [показать]
     
     
  • 6.26, Andrey Mitrofanov, 22:32, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Наши на болоте аплодируют стоя тм Достойная смена ростет ... весь текст скрыт [показать]
     
  • 5.33, Аноним, 23:33, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Счетчики в iptables, небось, смотрите Известная ошибка людей, считающих, что то... весь текст скрыт [показать]
     
  • 3.40, Andrey Mitrofanov, 21:58, 04/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Бред.

    Зато сколько брызг!>

     
  • 2.15, oxyum, 14:37, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    man ebtables
     
     
  • 3.16, Аноним, 14:42, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов в iptables... весь текст скрыт [показать]
     
     
  • 4.27, Andrey Mitrofanov, 22:33, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Не останавливайся Надеюсь, для росоктов и сетевая карта не нужна ... весь текст скрыт [показать]
     
  • 4.35, Аноним, 07:53, 04/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    откуда вы лезете? заткните кто-нибудь эту адскую дыру
     
  • 3.31, Аноним, 23:23, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А где речь про ebtables шла Суть-то в том, что в обсуждаемом дистрибутиве без н... весь текст скрыт [показать]
     
     
  • 4.39, Andrey Mitrofanov, 21:57, 04/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Слюшь, все виденные мною клиенты dhcp успешно фильтровались нетфильтром Если у ... весь текст скрыт [показать]
     
  • 2.21, Аноним, 17:29, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    С каких это пор ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 23:37, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    С тех самых, когда dhcp-софт стал использовать raw-сокеты считайте, что с самог... весь текст скрыт [показать]
     
     
  • 4.43, anonymous, 16:42, 05/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Можно работать и работает же Интерфейс есть, нет IP-адреса Ну так и запрос ухо... весь текст скрыт [показать]
     
     
  • 5.53, Аноним, 19:50, 06/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты не сможешь через AF_INET-сокет отправить ни одного пакета, если у тебя нет ад... весь текст скрыт [показать]
     
  • 4.45, Аноним, 19:02, 05/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот так вот и работает - рассылая пакеты броадкастом Ну что за люди, ман на про... весь текст скрыт [показать]
     
     
  • 5.50, saNdro, 21:02, 05/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    да что ман на протокол они похоже про броадкаст не знают а это парой уровней ... весь текст скрыт [показать]
     
     
  • 6.52, Аноним, 19:46, 06/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Код оправляющий broadcast-пакет через AF_INET SOCK_DGRAM сокет с определенного н... весь текст скрыт [показать]
     
  • 2.42, anonymous, 16:36, 05/09/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не ну бред же Читаем RFC 2131 http tools ietf org html rfc2131 DHCP uses U... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 19:33, 06/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    DHCP-софт использует свою реализацию IP и UDP поверх raw sockets, не полагаясь н... весь текст скрыт [показать]
     
  • 1.3, Aktis, 01:39, 03/09/2012 [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Дистрибутив профессионального революционера ;)
     
     
  • 2.58, Fyjybv, 10:42, 20/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Настоящего - Whonix
    https://github.com/adrelanos/Whonix
     
  • 1.6, Анонимъ, 09:58, 03/09/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    А если в сети нету ТОЯ?
     
  • 1.7, 1q2w3e, 11:09, 03/09/2012 [ответить] [смотреть все]    [к модератору]  
  • –4 +/
    Параноики ликуют!
     
     
  • 2.13, Аноним, 14:09, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    И судя по этому http 14prog ru main from-life aspx совсем не зря ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Прохожий, 21:39, 03/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    WOT не одобряет :(
     
     
  • 4.29, Аноним, 23:06, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Надобно смотреть, щито конкретно там не одобряется mywot com ru scorecard 14pr... весь текст скрыт [показать]
     
  • 3.46, Аноним, 19:04, 05/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Особенно иронично выглялит сайт с aspx ... весь текст скрыт [показать]
     
  • 1.12, влад, 14:01, 03/09/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    tor, это тот, который подозревается в том, что у него спецслужбы на выходных узлах?

    только выделенный сервер и шифрованный канал до него помогут.

     
     
  • 2.14, Аноним, 14:16, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    > tor, это тот, который подозревается в том, что у него спецслужбы на
    > выходных узлах?

    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла? Но необходимости в оконечном шифровании Тор конечно не отменяет, это да...

     
     
  • 3.18, анноним, 16:26, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольн... весь текст скрыт [показать]
     
     
  • 4.22, Аноним, 18:56, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Такой мутации этого слуха еще не встречал Хотя, может статься в скором будущем... весь текст скрыт [показать]
     
     
  • 5.25, анноним, 22:25, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиас... весь текст скрыт [показать]
     
     
  • 6.30, anonymous, 23:20, 03/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Для того, чтобы в сети tor однозначно идентифицировать получателя все хосты в це... весь текст скрыт [показать]
     
     
  • 7.37, анноним, 13:42, 04/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Один-два можно вытряхнуть совсем другими методами Ну это, если правда залезет п... весь текст скрыт [показать]
     
  • 6.55, Аноним, 11:53, 08/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Думаете, что из приблизительно 10 млрд тел не могло найтись каких-то трех тысяч ... весь текст скрыт [показать]
     
     
  • 7.56, Аноним, 12:02, 08/09/2012 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Кстати, и расширение сети по характеру вполне себе эволюционно https metrics ... весь текст скрыт [показать]
     
  • 5.41, Аноз, 12:38, 05/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма

    А что/кто им помешает?

     
     
  • 6.49, Аноним, 19:38, 05/09/2012 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    - Совесть - И в этот момент раздался гомерический хохот на галерке.
     
  • 1.20, Аноним, 17:27, 03/09/2012 [ответить] [смотреть все]     [к модератору]  
  • +/
    А чем подписаны, то Ключом Microsoft Или своим, который надо будет ещё в матер... весь текст скрыт [показать]
     
     
  • 2.36, VldK, 09:37, 04/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Не читатель?
    "Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию."
     
  • 2.47, Аноним, 19:06, 05/09/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да, кувалдометром вколачивать Извините, не удержался ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Клим, 19:07, 03/09/2012 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    да какой же это Liberte, если UEFI?
     
     
  • 2.28, Andrey Mitrofanov, 22:37, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    > да какой же это Liberte, если UEFI?

    там же написано "защищенного" !! сам балмер защищат!!1

     
  • 2.38, ызусефещк, 19:08, 04/09/2012 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    А на биосе либерте?
     
  • 2.48, Аноним, 19:06, 05/09/2012 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вот такое вот хреновое лето с анекдот ... весь текст скрыт [показать] [показать ветку]
     
  • 1.57, tux2002, 17:13, 08/09/2012 [ответить] [смотреть все]    [к модератору]  
  • +/
    Всё, нафиг, головная боль...
    Дайте мне переключатель ro на диск и больше мне ничего не надо!


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor