The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.09.2017 11:14  Четвёртый тестовый выпуск ОС Subgraph

Спустя 10 месяцев с момента прошлого обновления сформирован четвёртый альфа-выпуск проекта Subgraph OS, в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. По сравнению с системой Qubes, использующей средства виртуализации для изоляции приложений, применение контейнеров позволило значительно снизить потребление ресурсов и сделать систему более дружественной для пользователей. Для работы Subgraph требуется 64-разрядный CPU, 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб дискового пространства. Для загрузки доступен iso-образ размером 1.3 Гб.

Проект Subgraph изначально нацелен на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Базовое графическое окружение основано на GNOME 3. В качестве браузера применяется Tor Browser, в качестве почтового клиента Icedove/Thunderbird, а для мгновенного обмена сообщениями предлагается CoyIM c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).

В качестве основы используется пакетная база Debian GNU/Linux с ядром Linux, собранным с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Специфичные для дистрибутива сервисы и инструменты написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий полную повторяемость сборок (пересборка пользователем приведёт к формированию полностью совпадающих исполняемых файлов).

Все сетевые запросы приложений по умолчанию перехватываютя компонентом Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети предоставляется только приложениям, занесённым в белый список. При этом трафик разных приложений отправляется через разные цепочки узлов Tor (для каждого приложения создаётся отдельный сеанс подключения к Tor). При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, пользователю выводится диалог с предложением подтвердить или отклонить операцию.

Каждое приложение запускается в отдельных изолированных контейнерах Oz, в которых применяются пространства имён, Seccomp filter, Capabilities и прослойка Xpra, изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, другим процессам, системным вызовам, полностью контролируются обращения по сети и возможен вывод только в привязанное к приложению окно на рабочем столе.

Основные изменения в четвёртом альфа-выпуске:

  • В системе контейнерной изоляции Oz обеспечена возможность создания произвольного числа именованных сетевых мостов и привязки их к различным изолированным окружениям. По умолчанию данная возможность пока включена только в окружении с браузером Chromium (доступен из репозитория и не входит в базовый состав ISO-образа), что позволяет использовать его для прямой навигации по ресурсам сети в режиме Clearnet (не через Tor);
  • Переработано изолированное окружение для почтового клиента Thunderbird. Закрытые ключи теперь недоступны из контейнера, а операции расшифровки и работы с цифровыми подписями выполняются через обращение к gpg-agent, используя привязанный к GPG сокет;
  • Экспериментальная возможность запуска одноразовых контейнеров, содержимое которых не сохраняется между перезапусками. Для включения поддержки в /etc/oz/oz.conf следует указать "enable_ephemerals": true, после чего при запуске будет выводиться диалог с предложением запустить приложение в одноразовом или обычном контейнере (после завершения тестирования навязчивый диалог будет заменён);
  • Переработана организация доступа к совместно используемым директориям, через которые можно получить доступ к файлам вне контейнера. Настройки XDG_DIRS теперь автоматически привязываются к совместным директориям вне контейнера, например, для Chromium автоматически создаётся проброс в общую директорию для сохранения загруженных файлов, не требуя от пользователя каких-либо действий.

Новшества, которые которые находятся в разработке и пока не готовы для тестирования:

  • Значительная модернизация динамического межсетевого экрана: поддержка регулирования доступа приложений, использующих SOCKS5 (фильтрация сетевых запросов через Tor); интеграция TLSGuard; поддержка UDP и ICMP; учёт особенностей контейнеров и возможность задания политик доступа;
  • Возможность запуска консольных приложений в контейнерах Oz с ограничением на основе белого списка на основе seccomp-bpf, в том числе добавлен контейнер с gnome-terminal;
  • Применение системных фильтров трафика к сетевым соединениям через Tor - вместо прямого обращения к SOCKS5 порту Tor соединения от всех непривилегированных приложений будут транслироваться через динамический межсетевой экран Subgraph Firewall, на котором будут пропускаться только шифрованные TLS-соединения;
  • Возможность динамического проброса USB-устройств в контейнеры. Например, для Chromium предоставлена возможность обращаться к брелокам Yubikeys, а Electrum к аппаратным кошелькам (Ledger Nano S);
  • Поддержка работы с шиной i2p из контейнеров (например, HexChat и Chromium);
  • Подготовлен "Chronion", профиль контейнера для Chromium, который работает только через Tor, защищает от утечки сведений об IP через WebRTC и не сохраняет данные между перезапусками. Chronion обеспечивает высокую производительность и стойкость к эксплуатации уязвимостей, но пока слабо противостоит техникам идентификации системы (fingerprinting) по параметрам браузера;
  • Поддержка WireGuard и VPN на базе IPSec в контейнерах Oz;
  • Расширенные возможности настройки Tor, такие как управление шлюзами и установкой новых сеансов;
  • Режим работы без Tor: возможность выбора использования Tor для всей системы или только для отдельных контейнеров.


  1. Главная ссылка к новости (https://subgraph.com//blog/sub...)
  2. OpenNews: Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе
  3. OpenNews: Выпуск Whonix 13, дистрибутива для обеспечения анонимных коммуникаций
  4. OpenNews: В рамках проекта CopperheadOS развивается защищённый вариант платформы Android
  5. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  6. OpenNews: Доступна ОС Qubes 3.2, использующей виртуализацию для изоляции приложений
Лицензия: CC-BY
Тип: Программы
Ключевые слова: subgraph, tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:13, 25/09/2017 [ответить] [смотреть все]
  • –15 +/
    Нужно больше дистрибутивов.
     
     
  • 2.4, Аноним, 12:20, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    А что, предлагаешь жить с одними и теми же скучными обоями?
     
     
  • 3.12, Всем Анонимам Аноним, 13:45, 25/09/2017 [^] [ответить] [смотреть все]
  • +3 +/
    Не, он предлагает поставить их все на одном компе
     
  • 1.2, Аноним, 12:20, 25/09/2017 [ответить] [смотреть все]
  • –3 +/
    Зачем такие сложности Достаточно одноразовой stateless Live-системы с изоляци... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 13:33, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Выпусти свой дистр, а мы потом посмеемся в комментах.
     
  • 2.18, Аноним, 14:41, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Для этого нужно минимум две дыры в ядре одна чтобы поднять привилегии до рута, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Аноним, 23:55, 26/09/2017 [^] [ответить] [смотреть все]  
  • +/
    в контейнерах без аппартной виртуализации - сразу до рута
     
  • 2.22, Аноним, 17:39, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно подробнее мысль развернуть? Интересная идея.
     
  • 1.3, Аноним, 12:20, 25/09/2017 [ответить] [смотреть все]  
  • +1 +/
    CoyIM судя по скриншотам переделанный Pidgin Разве GRsec не закрыли исходники ... весь текст скрыт [показать]
     
     
  • 2.7, sage, 12:53, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    CoyIM написан с нуля.
     
     
  • 3.20, Аноним, 17:29, 25/09/2017 [^] [ответить] [смотреть все]  
  • +/
    https://coy.im/how-to-use/
     
     
  • 4.31, фребсдоюзрнемогунайтивыход, 22:11, 25/09/2017 [^] [ответить] [смотреть все]  
  • +/
    да чтоб тебе пусто было, полез по ссылкам дальше и через час очнулся с кучей вкл... весь текст скрыт [показать]
     
  • 3.21, Аноним, 17:31, 25/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Оу, оно на Go написано, ну значит действительно что-то свое - извиняюсь.
     
     
  • 4.38, фыва, 07:13, 26/09/2017 [^] [ответить] [смотреть все]  
  • +/
    CoyIM is a new client for the XMPP protocol It is built upon https github co... весь текст скрыт [показать]
     
  • 2.8, Аноним, 13:30, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    и где ты нашел эти скриншоты, похожие на pidgin?
     
  • 2.15, YetAnotherOnanym, 14:20, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Разве GRsec не закрыли исходники?

    Фарш невозможно провернуть назад.

     
  • 1.5, EHLO, 12:29, 25/09/2017 [ответить] [смотреть все]  
  • –2 +/
    Не буду читать, но осуждаю^W готов поспорить, что в тексте есть слово "Go"
     
     
  • 2.6, Анонимм, 12:34, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    "Специфичные для дистрибутива сервисы и инструменты написаны на языке Go"
     
  • 2.14, Аноним, 13:53, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    CoyIM написан на Go.
     
  • 1.9, Онаним, 13:31, 25/09/2017 [ответить] [смотреть все]  
  • +2 +/
    > Доступ к сети предоставляется только приложениям, занесённым в белый список.

    Как? Хочу такое в обычном дистре, без Тора и без GNOME3.

     
     
  • 2.24, Аноним, 17:44, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нужна 1 концепция бесшовного перевода программ под Debian в контейнер и обратн... весь текст скрыт [показать] [показать ветку]
     
  • 2.26, angra, 18:36, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Два варианта 1 Запускать все приложения из индивидуальных docker контейнеров ... весь текст скрыт [показать] [показать ветку]
     
  • 2.28, EHLO, 19:06, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    AppArmor в самом обычном есть В менее обычных SELinux Последний не особенно ад... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 01:09, 26/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Настраиваю SELinux в Debian, без Редхата и смс Корифеем себя не считаю, однако ... весь текст скрыт [показать]
     
     
  • 4.42, EHLO, 14:39, 26/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Действительно странные люди -- в нормальном ПО разбираются и смотрят логи, а в н... весь текст скрыт [показать]
     
  • 1.11, AlexYeCu_not_logged, 13:39, 25/09/2017 [ответить] [смотреть все]  
  • +3 +/
    >Взаимодействие с внешним миром осуществляется только через сеть Tor.

    Это точно про безопасность?

     
     
  • 2.13, Всем Анонимам Аноним, 13:47, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это про паранойю.
     
     
  • 3.17, Онаним, 14:25, 25/09/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Это издевательство над параноиками. Всем известно, что Тор в открытую финансируется АНБ.
     
  • 1.16, Аноним, 14:23, 25/09/2017 [ответить] [смотреть все]  
  • +/
    По-моему, очень интересный дистр. Всяко нужнее Кали
     
  • 1.23, Аноним, 17:42, 25/09/2017 [ответить] [смотреть все]  
  • +1 +/
    wireguard не имеет никакого отношения к ipsec
     
  • 1.27, Аноним, 18:48, 25/09/2017 [ответить] [смотреть все]  
  • –1 +/
    Главный вопрос - зачем интернет калькулятору Через тор все эти ваши p2p будут р... весь текст скрыт [показать]
     
  • 1.29, Аноним, 19:51, 25/09/2017 [ответить] [смотреть все]  
  • –2 +/
    Пах грсекьюрити которая судится с GPL http www opennet ru opennews art shtml n... весь текст скрыт [показать]
     
  • 1.33, vantoo, 22:31, 25/09/2017 [ответить] [смотреть все]  
  • –1 +/
    Подскажите нубу в контейнерах, есть ли возможность обмениваться файлами между контейнерами, или они тоже изолированы?
     
     
  • 2.35, Аноним, 01:10, 26/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Принципиальных ограничений для этого нет, поэтому зависит от того, как настроишь... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Аноним, 01:25, 26/09/2017 [ответить] [смотреть все]  
  • +/
    почему так много дистров клепается неужели сообрать новую ос так же просто ... весь текст скрыт [показать]
     
  • 1.37, AsukaLangleyfag, 06:33, 26/09/2017 [ответить] [смотреть все]  
  • +/
    >CoyIM
    >Not yet audited. Do not use for anything sensitive
     
  • 1.49, Ващенаглухо, 17:51, 26/09/2017 [ответить] [смотреть все]  
  • +/
    Где они взяли Grsecurity/PaX патчи? Я тоже хочу
     
     
  • 2.50, Anonimous, 20:22, 26/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    У них наверняка есть сорцы для текущего ядра спеки в репах, и соответственно в... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, anonko, 04:34, 27/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https://github.com/minipli/linux-unofficial_grsec
     
  • 1.51, Аноним, 21:43, 26/09/2017 [ответить] [смотреть все]  
  • +/
    Подготовлен Chronion , профиль контейнера для Chromium, который работает только... весь текст скрыт [показать]
     
  • 1.54, Аноним, 16:04, 29/09/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Типичный хонипот.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor