The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ

02.09.2012 22:18  Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой режима безопасной загрузки UEFI

Увидел свет LiveUSB-дистрибутив Liberté Linux 2012.3, построенный на основе Gentoo Linux (Hardened), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в одно нажатие устанавливается на USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor. Размер загрузочного образа 213 Мб.

Liberte Linux 2012.3 является первым дистрибутивом Linux в котором обеспечена поддержка режима безопасной загрузки UEFI, что позволяет добиться полной верификации всех компонентов дистрибутива, но только взаимодействующих с оборудованием и обеспечивающих загрузку ОС. Например, помимо формирования подписи для загрузчика GRUB, файлов конфигурации GRUB, ядра Linux и всех загружаемых ядром драйверов и модулей, предусмотрена возможность проверки и сжатого образа корневой ФС (rootfs).

Таким образом гарантируется неизменность всех составных частей live-дистрибутива, защищая пользователя от подмены данных и включения закладок при установке на USB-накопитель или жесткий диск. Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию. Примечательно, что при отсутствии поддержки безопасной загрузки UEFI оборудованием, стадия проверки целостности корневой ФС выполняется дистрибутивом и при загрузке с использованием обычного BIOS.

Особенности организации работы дистрибутива:

  • Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE.
  • Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий;
  • Все приложения сконфигурированы и готовы к использованию. Дистрибутив достаточно легко переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ;
  • Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened, который включает такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;
  • Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;
  • Максимально урезаны передаваемые по DHCP параметры, блокируется передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;
  • Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);
  • Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.
  • Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;
  • Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки.

Изменения в новой версии:

  • Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
  • Обновление ядра Linux до версии 3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
  • Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
  • Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима (перенаправление всего трафика через Tor)'
  • В состав включена утилита reaver-wps для проверки безопасности WiFi сетей;
  • В GnuPG добавлена поддержка PKCS#11;
  • Проведена унификция визуальных тем для GTK-2 и GTK-3.


  1. Главная ссылка к новости (http://forum.dee.su/#Topic/6565000000021...)
  2. OpenNews: Доступен BackTrack 5 R2, Live-дистрибутив для исследования безопасности систем
  3. OpenNews: Опубликован новый план реализации поддержки режима безопасной загрузки UEFI в Ubuntu
  4. OpenNews: На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot
  5. OpenNews: Лидер проекта OpenBSD выступил с критикой добавления поддержки режима безопасной загрузки UEFI в Ubuntu и Fedora
  6. OpenNews: Озвучены планы по поддержке в SUSE режима безопасной загрузки UEFI
Тип: Программы
Ключевые слова: linux, gentoo, security, privacy, liberte, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 00:13, 03/09/2012 [ответить] [смотреть все]
  • +4 +/
    А вы Fedora, Ubuntu ... весь текст скрыт [показать]
     
     
  • 2.8, Vascom, 11:20, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    В Fedora ненужно будет устанавливать ключи в прошивку UEFI Всё сразу будет рабо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Рыба, 16:30, 03/09/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    Нужно Просто за пользователя их туда установит микрософт с сообщниками Не лучш... весь текст скрыт [показать]
     
     
  • 4.32, loglog, 23:24, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Им не понять Проще громче кричать Микрософт это наше все И производители т... весь текст скрыт [показать]
     
  • 1.2, Аноним, 00:40, 03/09/2012 [ответить] [смотреть все]  
  • –5 +/
    Вообще-то, dhcp-клиент dhcp-сервер, впрочем, тоже работает уровнем ниже iptabl... весь текст скрыт [показать]
     
     
  • 2.4, ABATAPA, 08:00, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Бред ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Анонимец, 08:35, 03/09/2012 [^] [ответить] [смотреть все]  
  • –3 +/
    Не совсем так iptables работает только с IP пакетами, в то время как dhcp клиен... весь текст скрыт [показать]
     
     
  • 4.44, Аноним, 18:53, 05/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Попробуйте зафильтровать порты 67 68 UDP и расскажите как понравился результат ... весь текст скрыт [показать]
     
     
  • 5.54, Аноним, 22:49, 06/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Зафильтровано и работает Дальше что ... весь текст скрыт [показать]
     
  • 3.9, anonymous, 11:50, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Попробуйте зафильтровать dhcp и удивитесь raw-сокеты iptables ом не фильтруются... весь текст скрыт [показать]
     
     
  • 4.10, bircoph, 12:03, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    А почему у меня фильтруются ... весь текст скрыт [показать]
     
     
  • 5.17, Аноним, 14:47, 03/09/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    Потому что вы где-то слажали и что-то перепутали ... весь текст скрыт [показать]
     
     
  • 6.26, Andrey Mitrofanov, 22:32, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Наши на болоте аплодируют стоя тм Достойная смена ростет ... весь текст скрыт [показать]
     
  • 5.33, Аноним, 23:33, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Счетчики в iptables, небось, смотрите Известная ошибка людей, считающих, что то... весь текст скрыт [показать]
     
  • 3.40, Andrey Mitrofanov, 21:58, 04/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Зато сколько брызг ... весь текст скрыт [показать]
     
  • 2.15, oxyum, 14:37, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    man ebtables... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 14:42, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    И Ещё man ipfw предложите, только при чём тут фильтрация raw сокетов в iptables... весь текст скрыт [показать]
     
     
  • 4.27, Andrey Mitrofanov, 22:33, 03/09/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Не останавливайся Надеюсь, для росоктов и сетевая карта не нужна ... весь текст скрыт [показать]
     
  • 4.35, Аноним, 07:53, 04/09/2012 [^] [ответить] [смотреть все]  
  • +/
    откуда вы лезете заткните кто-нибудь эту адскую дыру... весь текст скрыт [показать]
     
  • 3.31, Аноним, 23:23, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    А где речь про ebtables шла Суть-то в том, что в обсуждаемом дистрибутиве без н... весь текст скрыт [показать]
     
     
  • 4.39, Andrey Mitrofanov, 21:57, 04/09/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Слюшь, все виденные мною клиенты dhcp успешно фильтровались нетфильтром Если у ... весь текст скрыт [показать]
     
  • 2.21, Аноним, 17:29, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    С каких это пор ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 23:37, 03/09/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    С тех самых, когда dhcp-софт стал использовать raw-сокеты считайте, что с самог... весь текст скрыт [показать]
     
     
  • 4.43, anonymous, 16:42, 05/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Можно работать и работает же Интерфейс есть, нет IP-адреса Ну так и запрос ухо... весь текст скрыт [показать]
     
     
  • 5.53, Аноним, 19:50, 06/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Ты не сможешь через AF_INET-сокет отправить ни одного пакета, если у тебя нет ад... весь текст скрыт [показать]
     
  • 4.45, Аноним, 19:02, 05/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Вот так вот и работает - рассылая пакеты броадкастом Ну что за люди, ман на про... весь текст скрыт [показать]
     
     
  • 5.50, saNdro, 21:02, 05/09/2012 [^] [ответить] [смотреть все]  
  • +/
    да что ман на протокол они похоже про броадкаст не знают а это парой уровней ... весь текст скрыт [показать]
     
     
  • 6.52, Аноним, 19:46, 06/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Код оправляющий broadcast-пакет через AF_INET SOCK_DGRAM сокет с определенного н... весь текст скрыт [показать]
     
  • 2.42, anonymous, 16:36, 05/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не ну бред же Читаем RFC 2131 http tools ietf org html rfc2131 DHCP uses U... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 19:33, 06/09/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    DHCP-софт использует свою реализацию IP и UDP поверх raw sockets, не полагаясь н... весь текст скрыт [показать]
     
     ....нить скрыта, показать (25)

  • 1.3, Aktis, 01:39, 03/09/2012 [ответить] [смотреть все]  
  • +6 +/
    Дистрибутив профессионального революционера ;)
     
     
  • 2.58, Fyjybv, 10:42, 20/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Настоящего - Whonix https github com adrelanos Whonix... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Анонимъ, 09:58, 03/09/2012 [ответить] [смотреть все]  
  • +/
    А если в сети нету ТОЯ?
     
  • 1.7, 1q2w3e, 11:09, 03/09/2012 [ответить] [смотреть все]  
  • –4 +/
    Параноики ликуют ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 14:09, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    И судя по этому http 14prog ru main from-life aspx совсем не зря ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Прохожий, 21:39, 03/09/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    WOT не одобряет ... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 23:06, 03/09/2012 [^] [ответить] [смотреть все]  
  • +4 +/
    Надобно смотреть, щито конкретно там не одобряется mywot com ru scorecard 14pr... весь текст скрыт [показать]
     
  • 3.46, Аноним, 19:04, 05/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Особенно иронично выглялит сайт с aspx ... весь текст скрыт [показать]
     
  • 1.12, влад, 14:01, 03/09/2012 [ответить] [смотреть все]  
  • +/
    tor, это тот, который подозревается в том, что у него спецслужбы на выходных узлах?

    только выделенный сервер и шифрованный канал до него помогут.

     
     
  • 2.14, Аноним, 14:16, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > tor, это тот, который подозревается в том, что у него спецслужбы на
    > выходных узлах?

    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольно выбираемых промежуточных узла? Но необходимости в оконечном шифровании Тор конечно не отменяет, это да...

     
     
  • 3.18, анноним, 16:26, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Что толку им от этого, если между подобным экзитом и Ваней всегда два произвольн... весь текст скрыт [показать]
     
     
  • 4.22, Аноним, 18:56, 03/09/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Такой мутации этого слуха еще не встречал Хотя, может статься в скором будущем... весь текст скрыт [показать]
     
     
  • 5.25, анноним, 22:25, 03/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Да нет, просто вызывает сомнение реальное количество релеев на серверах энтузиас... весь текст скрыт [показать]
     
     
  • 6.30, anonymous, 23:20, 03/09/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Для того, чтобы в сети tor однозначно идентифицировать получателя все хосты в це... весь текст скрыт [показать]
     
     
  • 7.37, анноним, 13:42, 04/09/2012 [^] [ответить] [смотреть все]  
  • +/
    Один-два можно вытряхнуть совсем другими методами Ну это, если правда залезет п... весь текст скрыт [показать]
     
  • 6.55, Аноним, 11:53, 08/09/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    Думаете, что из приблизительно 10 млрд тел не могло найтись каких-то трех тысяч ... весь текст скрыт [показать]
     
     
  • 7.56, Аноним, 12:02, 08/09/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Кстати, и расширение сети по характеру вполне себе эволюционно https metrics ... весь текст скрыт [показать]
     
  • 5.41, Аноз, 12:38, 05/09/2012 [^] [ответить] [смотреть все]  
  • +/
    >> если продолжат так прикручивать гайки, как крутят сейчас по всему миру под предлогом угрозы терроризма

    А что/кто им помешает?

     
     
  • 6.49, Аноним, 19:38, 05/09/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    - Совесть - И в этот момент раздался гомерический хохот на галерке ... весь текст скрыт [показать]
     
  • 1.20, Аноним, 17:27, 03/09/2012 [ответить] [смотреть все]  
  • +/
    А чем подписаны, то Ключом Microsoft Или своим, который надо будет ещё в матер... весь текст скрыт [показать]
     
     
  • 2.36, VldK, 09:37, 04/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не читатель?
    "Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию."
     
  • 2.47, Аноним, 19:06, 05/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, кувалдометром вколачивать Извините, не удержался ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Клим, 19:07, 03/09/2012 [ответить] [смотреть все]  
  • +1 +/
    да какой же это Liberte, если UEFI?
     
     
  • 2.28, Andrey Mitrofanov, 22:37, 03/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > да какой же это Liberte, если UEFI?

    там же написано "защищенного" !! сам балмер защищат!!1

     
  • 2.38, ызусефещк, 19:08, 04/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А на биосе либерте?
     
  • 2.48, Аноним, 19:06, 05/09/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот такое вот хреновое лето с анекдот ... весь текст скрыт [показать] [показать ветку]
     
  • 1.57, tux2002, 17:13, 08/09/2012 [ответить] [смотреть все]  
  • +/
    Всё, нафиг, головная боль...
    Дайте мне переключатель ro на диск и больше мне ничего не надо!


     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter    
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 18.12 Релиз СУБД PostgreSQL 9.4 (33 +33)
    - 09.12 Релиз Linux-дистрибутива Fedora 21 (53 +26)
    - 08.12 Релиз ядра Linux 3.18 (242 +51)
    - 04.12 Выпуск Bitrig 1.0, модернизированного форка OpenBSD (79 +7)

    Советы
    - 15.12 Организация входа по SSH в окружение Live-диска FreeBSD
    - 28.11 Ubuntu как сервер Zentyal + MyDLP + Webmin + SAMS2
    - 26.11 Скрипт для резервного копирования EC2-серверов в AMI
    - 14.11 Импорт КЛАДР в базу данных PostgreSQL
    - 09.11 Мониторинг репликации MySQL при помощи Zabbix

    Обсуждаемые новости
    - 14:16 Корректирующий выпуск офисного пакета LibreOffice 4.3.5  (24)
    - 14:15 Релиз сетевого конфигуратора NetworkManager 1.0 (8)
    - 14:00 Уязвимость Grinch оказалась штатной возможностью дистрибутив (42)
    - 13:50 В ntpd выявлена уязвимость, которая может привести к удалённ (29)
    - 13:49 Предупреждение о возможной атаке по выводу из строя анонимно (26)
    - 13:37 Проект CoreOS рассматривает возможность ухода от использован (13)
    - 13:31 Первый выпуск и открытие кода web-браузера Gngr (42)
    - 13:30 Евросоюз выделит миллион евро на аудит безопасности свободно (10)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2014 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList