The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.09.2012 22:18  Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой режима безопасной загрузки UEFI

Увидел свет LiveUSB-дистрибутив Liberté Linux 2012.3, построенный на основе Gentoo Linux (Hardened), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в одно нажатие устанавливается на USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor. Размер загрузочного образа 213 Мб.

Liberte Linux 2012.3 является первым дистрибутивом Linux в котором обеспечена поддержка режима безопасной загрузки UEFI, что позволяет добиться полной верификации всех компонентов дистрибутива, но только взаимодействующих с оборудованием и обеспечивающих загрузку ОС. Например, помимо формирования подписи для загрузчика GRUB, файлов конфигурации GRUB, ядра Linux и всех загружаемых ядром драйверов и модулей, предусмотрена возможность проверки и сжатого образа корневой ФС (rootfs).

Таким образом гарантируется неизменность всех составных частей live-дистрибутива, защищая пользователя от подмены данных и включения закладок при установке на USB-накопитель или жесткий диск. Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию. Примечательно, что при отсутствии поддержки безопасной загрузки UEFI оборудованием, стадия проверки целостности корневой ФС выполняется дистрибутивом и при загрузке с использованием обычного BIOS.

Особенности организации работы дистрибутива:

  • Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE.
  • Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий;
  • Все приложения сконфигурированы и готовы к использованию. Дистрибутив достаточно легко переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ;
  • Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened, который включает такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;
  • Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;
  • Максимально урезаны передаваемые по DHCP параметры, блокируется передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;
  • Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);
  • Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.
  • Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;
  • Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки.

Изменения в новой версии:

  • Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
  • Обновление ядра Linux до версии 3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
  • Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
  • Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима (перенаправление всего трафика через Tor)'
  • В состав включена утилита reaver-wps для проверки безопасности WiFi сетей;
  • В GnuPG добавлена поддержка PKCS#11;
  • Проведена унификция визуальных тем для GTK-2 и GTK-3.


  1. Главная ссылка к новости (http://forum.dee.su/#Topic/656...)
  2. OpenNews: Доступен BackTrack 5 R2, Live-дистрибутив для исследования безопасности систем
  3. OpenNews: Опубликован новый план реализации поддержки режима безопасной загрузки UEFI в Ubuntu
  4. OpenNews: На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot
  5. OpenNews: Лидер проекта OpenBSD выступил с критикой добавления поддержки режима безопасной загрузки UEFI в Ubuntu и Fedora
  6. OpenNews: Озвучены планы по поддержке в SUSE режима безопасной загрузки UEFI
Лицензия: CC-BY
Тип: Программы
Ключевые слова: linux, gentoo, security, privacy, liberte
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 00:13, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    > First Linux distribution released with UEFI Secure Boot-based trusted boot sequence.

    А вы "Fedora, Ubuntu..."

     
     
  • 2.8, Vascom (?), 11:20, 03/09/2012 [^] [ответить]    [к модератору]
  • –1 +/
    В Fedora ненужно будет устанавливать ключи в прошивку UEFI. Всё сразу будет работать.
     
     
  • 3.19, Рыба (?), 16:30, 03/09/2012 [^] [ответить]    [к модератору]
  • +4 +/
    Нужно. Просто за пользователя их туда установит микрософт с сообщниками.
    Не лучше ли самому определять кому твоё же оборудование будет доверять?
     
     
  • 4.32, loglog (?), 23:24, 03/09/2012 [^] [ответить]     [к модератору]
  • +/
    Им не понять Проще громче кричать Микрософт это наше все И производители т... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 00:40, 03/09/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    Вообще-то, dhcp-клиент dhcp-сервер, впрочем, тоже работает уровнем ниже iptabl... весь текст скрыт [показать]
     
     
  • 2.4, ABATAPA (ok), 08:00, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Бред.
     
     
  • 3.5, Анонимец (?), 08:35, 03/09/2012 [^] [ответить]    [к модератору]  
  • –3 +/
    Не совсем так. iptables работает только с IP пакетами, в то время как dhcp клиенты/серверы в своей работе используют сырые сокеты, не задействую IP стэк.
     
     
  • 4.44, Аноним (-), 18:53, 05/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Попробуйте зафильтровать порты 67 68 UDP и расскажите как понравился результат ... весь текст скрыт [показать]
     
     
  • 5.54, Аноним (-), 22:49, 06/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Зафильтровано и работает. Дальше что?
     
  • 3.9, anonymous (??), 11:50, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Бред.

    Попробуйте зафильтровать dhcp и удивитесь. raw-сокеты iptables'ом не фильтруются.

     
     
  • 4.10, bircoph (ok), 12:03, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    А почему у меня фильтруются?
     
     
  • 5.17, Аноним (-), 14:47, 03/09/2012 [^] [ответить]    [к модератору]  
  • +4 +/
    > А почему у меня фильтруются?

    Потому что вы где-то слажали и что-то перепутали.

     
     
  • 6.26, Andrey Mitrofanov (?), 22:32, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Потому что вы где-то слажали и что-то перепутали.

    Наши на болоте "аплодируют стоя"тм. Достойная смена ростет.

     
  • 5.33, Аноним (-), 23:33, 03/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Счетчики в iptables, небось, смотрите Известная ошибка людей, считающих, что то... весь текст скрыт [показать]
     
  • 3.40, Andrey Mitrofanov (?), 21:58, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > Бред.

    Зато сколько брызг!>

     
  • 2.15, oxyum (ok), 14:37, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    man ebtables
     
     
  • 3.16, Аноним (-), 14:42, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов в iptables?
     
     
  • 4.27, Andrey Mitrofanov (?), 22:33, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > И? Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов
    > в iptables?

    Не останавливайся! Надеюсь, для росоктов и сетевая карта не нужна?!

     
  • 4.35, Аноним (-), 07:53, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    откуда вы лезете? заткните кто-нибудь эту адскую дыру
     
  • 3.31, Аноним (-), 23:23, 03/09/2012 [^] [ответить]     [к модератору]  
  • +/
    А где речь про ebtables шла Суть-то в том, что в обсуждаемом дистрибутиве без н... весь текст скрыт [показать]
     
     
  • 4.39, Andrey Mitrofanov (?), 21:57, 04/09/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Слюшь, все виденные мною клиенты dhcp успешно фильтровались нетфильтром Если у ... весь текст скрыт [показать]
     
  • 2.21, Аноним (-), 17:29, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >dhcp-клиент (dhcp-сервер, впрочем, тоже) работает уровнем ниже iptables

    С каких это пор?

     
     
  • 3.34, Аноним (-), 23:37, 03/09/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    С тех самых, когда dhcp-софт стал использовать raw-сокеты считайте, что с самог... весь текст скрыт [показать]
     
     
  • 4.43, anonymous (??), 16:42, 05/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Можно работать и работает же Интерфейс есть, нет IP-адреса Ну так и запрос ухо... весь текст скрыт [показать]
     
     
  • 5.53, Аноним (-), 19:50, 06/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Ты не сможешь через AF_INET-сокет отправить ни одного пакета, если у тебя нет ад... весь текст скрыт [показать]
     
  • 4.45, Аноним (-), 19:02, 05/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Вот так вот и работает - рассылая пакеты броадкастом Ну что за люди, ман на про... весь текст скрыт [показать]
     
     
  • 5.50, saNdro (?), 21:02, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    да что ман на протокол. они похоже про броадкаст не знают. а это парой "уровней пониже" знания прикладного протокола.
     
     
  • 6.52, Аноним (-), 19:46, 06/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Код оправляющий broadcast-пакет через AF_INET SOCK_DGRAM сокет с определенного н... весь текст скрыт [показать]
     
  • 2.42, anonymous (??), 16:36, 05/09/2012 [^] [ответить]     [к модератору]  
  • +/
    Не ну бред же Читаем RFC 2131 http tools ietf org html rfc2131 DHCP uses U... весь текст скрыт [показать]
     
     
  • 3.51, Аноним (-), 19:33, 06/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    DHCP-софт использует свою реализацию IP и UDP поверх raw sockets, не полагаясь на системные.
     
  • 1.3, Aktis (?), 01:39, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Дистрибутив профессионального революционера ;)
     
     
  • 2.58, Fyjybv (?), 10:42, 20/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Настоящего - Whonix
    https://github.com/adrelanos/Whonix
     
  • 1.6, Анонимъ (?), 09:58, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А если в сети нету ТОЯ?
     
  • 1.7, 1q2w3e (?), 11:09, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Параноики ликуют!
     
     
  • 2.13, Аноним (-), 14:09, 03/09/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    >Параноики ликуют!

    И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.

     
     
  • 3.24, Прохожий (??), 21:39, 03/09/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    WOT не одобряет :(
     
     
  • 4.29, Аноним (-), 23:06, 03/09/2012 [^] [ответить]     [к модератору]  
  • +4 +/
    Надобно смотреть, щито конкретно там не одобряется mywot com ru scorecard 14pr... весь текст скрыт [показать]
     
  • 3.46, Аноним (-), 19:04, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > И судя по этому http://14prog.ru/main/from-life.aspx совсем не зря.

    Особенно иронично выглялит сайт с aspx :)

     
  • 1.12, влад (?), 14:01, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    tor, это тот, который подозревается в том, что у него спецслужбы на выходных узлах?

    только выделенный сервер и шифрованный канал до него помогут.

     
     
  • 2.14, Аноним (-), 14:16, 03/09/2012 [^] [ответить]    [к модератору]  
  • +6 +/
    > tor, это тот, который подозревается в том, что у него спецслужбы на
    > выходных узлах?

    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла? Но необходимости в оконечном шифровании Тор конечно не отменяет, это да...

     
     
  • 3.18, анноним (?), 16:26, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла?

    ... произвольно выбираемых из числа все тех же меченых.

     
     
  • 4.22, Аноним (-), 18:56, 03/09/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Такой мутации этого слуха еще не встречал Хотя, может статься в скором будущем... весь текст скрыт [показать]
     
     
  • 5.25, анноним (?), 22:25, 03/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >>произвольно выбираемых из числа все тех же меченых
    > Такой мутации этого слуха еще не встречал )

    Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиастов. Скорее, большая их часть поддерживается централизовано. Тем более, что сегодня - это просто смешные деньги.

     
     
  • 6.30, anonymous (??), 23:20, 03/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    >Скорее, большая их часть поддерживается централизовано.

    Для того, чтобы в сети tor однозначно идентифицировать получателя все хосты в цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.

    >вызывает сомнение реальное количество релеев на серверах энтузиастов

    Ну, повысте его. Запустите у себя транзитный сервер ;)

     
     
  • 7.37, анноним (?), 13:42, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > все хосты в
    > цепочке должны быть "мечеными". Большенство - этого точно не гарантирует.

    Один-два можно вытряхнуть совсем другими методами. Ну это, если правда залезет парочка настоящих. %)

    >>вызывает сомнение реальное количество релеев на серверах энтузиастов
    > Ну, повысте его. Запустите у себя транзитный сервер ;)

    Специально отключил. :D


     
  • 6.55, Аноним (-), 11:53, 08/09/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Думаете, что из приблизительно 10 млрд тел не могло найтись каких-то трех тысяч ... весь текст скрыт [показать]
     
     
  • 7.56, Аноним (-), 12:02, 08/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Кстати, и расширение сети по характеру вполне себе эволюционно
    https://metrics.torproject.org/network.html?graph=networksize&start=2009-06-10
     
  • 5.41, Аноз (?), 12:38, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    >> если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма

    А что/кто им помешает?

     
     
  • 6.49, Аноним (-), 19:38, 05/09/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    - Совесть - И в этот момент раздался гомерический хохот на галерке.
     
  • 1.20, Аноним (-), 17:27, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А чем подписаны, то? Ключом Microsoft? Или своим, который надо будет ещё в материнку вбивать?
     
     
  • 2.36, VldK (ok), 09:37, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    Не читатель?
    "Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию."
     
  • 2.47, Аноним (-), 19:06, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > в материнку вбивать?

    Да, кувалдометром вколачивать. Извините, не удержался :)

     
  • 1.23, Клим (?), 19:07, 03/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    да какой же это Liberte, если UEFI?
     
     
  • 2.28, Andrey Mitrofanov (?), 22:37, 03/09/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > да какой же это Liberte, если UEFI?

    там же написано "защищенного" !! сам балмер защищат!!1

     
  • 2.38, ызусефещк (?), 19:08, 04/09/2012 [^] [ответить]    [к модератору]  
  • +/
    А на биосе либерте?
     
  • 2.48, Аноним (-), 19:06, 05/09/2012 [^] [ответить]    [к модератору]  
  • +/
    > да какой же это Liberte, если UEFI?

    Вот такое вот хреновое лето (с) анекдот.

     
  • 1.57, tux2002 (ok), 17:13, 08/09/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всё, нафиг, головная боль...
    Дайте мне переключатель ro на диск и больше мне ничего не надо!


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor