The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.03.2016 14:33  Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе

После двух лет разработки доступен первый альфа-выпуск проекта Subgraph OS, в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Для загрузки доступен iso-образ размером 1.5 Гб.

Разработчики Subgraph не считают, что ценой высокой безопасности должны быть ограничения и неудобства в работе, и пытаются предоставить максимально простое и удобное для конечных пользователей решение. Базовое графическое окружение основано на GNOME 3. В качестве почтового клиента предлагается Subgraph Mail, написанный с нуля с оглядкой на предоставление встроенной поддержки безопасных коммуникаций, идентификации отправителя и проверки сообщений по цифровой подписи (используется встроенная реализация OpenPGP). В качестве браузера применяется Tor Browser. Для мгновенного обмена сообщениями используется CoyIM c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).

Все сетевые запросы приложений по умолчанию перехватываютя компонентом Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети осуществляется на основе белого списка, в который включены приложения, которым разрешена сетевая активность по определённым сетевым портам. Трафик разных приложений отправляется через разные цепочки узлов Tor. При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, через задействование динамического межсетевого экрана пользователю выводится диалог с предложением подтвердить или отклонить операцию.

Для изоляции приложений применяется технология sandbox-контейнеров oz, в которой для изоляции применяются пространства имён, Seccomp filter, Capabilities и прослойка Xpra, изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, рабочему столу (открыт доступ только в своё окно), другим процессам, системным вызовам, полностью контролируются обращения по сети.

Ядро Linux собрано с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Компоненты дистрибутива написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. В качестве основы используется пакетная база Debian GNU/Linux. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий повторяемость сборок (пересборка пользователем приведёт к формированию полностью совпадающих исполняемых файлов).

По сравнению с системой Qubes, использующей полноценные механизмы виртуализации для изоляции разных типов приложений, применение контейнеров позволило значительно снизить требования к имеющимся ресурсам, для работы Subgraph требуется 64-разрядный CPU Core2Duo (или новее), 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб места на диске. При этом, в Twitter (@rootkovska, @attractr, @subgraph) и списке рассылки ведутся переговоры о сотрудничестве проектов Subgraph OS и Qubes, в рамках которого для Qubes в ближайшее время может быть подготовлен образ VM с Subgraph.



  1. Главная ссылка к новости (https://subgraph.com/sgos/down...)
  2. OpenNews: Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции приложений
  3. OpenNews: Выпуск Firejail 0.9.38, инструмента для изоляции приложений
  4. OpenNews: OpenBSD развивает Pledge, новый механизм изоляции приложений
  5. OpenNews: Представлен Otto, инструментарий для создания микросервисов из изолированных приложений
  6. OpenNews: Первый выпуск инструментария для запуска приложений GNOME в изолированных контейнерах
Лицензия: CC-BY
Тип: Программы
Ключевые слова: subgraph, container, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 14:36, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    >платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах

    шо, опять?

     
     
  • 2.2, Аноним (-), 14:38, 13/03/2016 [^] [ответить]    [к модератору]
  • +11 +/
    Конкуренция не помешает. Пусть будет.
     
     
  • 3.26, Аноним (-), 22:14, 13/03/2016 [^] [ответить]     [к модератору]
  • –1 +/
    А смысл Можно лучше сделать Берешь firejail и нарезаешь на контейнеры Хоть ка... весь текст скрыт [показать]
     
     
  • 4.48, SysA (?), 15:04, 14/03/2016 [^] [ответить]     [к модератору]  
  • +/
    systemd-nspawn А как вы об едините картинку от разных контайнеров на общем д... весь текст скрыт [показать]
     
  • 2.6, Аноним (-), 14:52, 13/03/2016 [^] [ответить]    [к модератору]  
  • –8 +/
    Нынче это прибыльно. Школота из года в год тупее и тупее.
    Вишь, даже кэртинкэ нарисовали насколько все крутэ :)
     
     
  • 3.13, Аноним (-), 16:49, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Пиксель-арт http www listoid com image 100 list_59_100_20101124_090212_388 pn... весь текст скрыт [показать]
     
     
  • 4.16, Аноним (-), 17:34, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Так а может есть какая тулза чтобы в пиксельарте рисовать схемы?
     
  • 1.3, Аноним (-), 14:44, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    >пытаются предоставить максимально простое и удобное ... решение.
    >графическое окружение основано на GNOME 3.

    Взаимоисключающие параграфы?

     
     
  • 2.5, Аноним (-), 14:51, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Они хотели сказать - Максимально примитивное, и удобное с точки зрения его разработки решение.
     
  • 1.7, Меломан1 (?), 15:05, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    >Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам

    Идея хорошая, только использование Тор не вяжется с этой концепцией. Тор можно использовать только в качестве анонимайзера и к безопасности не имеет никакого отношения, скорее наоборот ведь на выходе все пароли от почты и интернет-банкинга угоняются.

     
     
  • 2.8, MPEG LA (ok), 15:10, 13/03/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    >ведь на выходе все пароли от почты и интернет-банкинга угоняются.

    почта и банкинг без https?

     
     
  • 3.9, sage (??), 15:18, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Вот-вот, никогда не понимал этого аргумента.
     
  • 3.14, Меломан1 (?), 17:11, 13/03/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    >>ведь на выходе все пароли от почты и интернет-банкинга угоняются.
    > почта и банкинг без https?

    MITM


     
     
  • 4.17, Аноним (-), 19:57, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    mitm без подмены сертификата? да Вы, батенька, фантазер :)
     
     
  • 5.20, Аноним (-), 20:48, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Так CA много разных, а оплошать достаточно одному.
     
     
  • 6.22, MPEG LA (ok), 20:53, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Так CA много разных, а оплошать достаточно одному.

    тогда при чем тут Tor?

     
     
  • 7.28, Аноним (-), 22:26, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > тогда при чем тут Tor?

    Сам по себе - не при чем. Но за exit nodes нужен глаз да глаз. Поэтому в ответственных случаях стоит проверять что за сертификат подсунули.

     
  • 5.23, Меломан1 (?), 21:32, 13/03/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    > mitm без подмены сертификата? да Вы, батенька, фантазер :)

    mitmproxy генерирует подложный сертификат.


     
     
  • 6.25, MPEG LA (ok), 22:08, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    >> mitm без подмены сертификата? да Вы, батенька, фантазер :)
    > mitmproxy генерирует подложный сертификат.

    и что? браузер пропускает без вопросов?

     
     
  • 7.37, Меломан1 (?), 01:46, 14/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy... весь текст скрыт [показать]
     
     
  • 8.42, Нимано (?), 03:29, 14/03/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Оригинально и весьма ловко Стесняюсь спросить, а не проще ли, учитывая обычные... весь текст скрыт [показать]
     
  • 6.29, Аноним (-), 22:33, 13/03/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    >> mitm без подмены сертификата? да Вы, батенька, фантазер :)
    > mitmproxy генерирует подложный сертификат.

    Сгенерируйте-ка пожалуйста для начала подложный сертификат для опеннета.

     
     
  • 7.33, Аноним (-), 00:58, 14/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    https://www.opennet.ru/opennews/art.shtml?num=35754
    https://www.opennet.ru/opennews/art.shtml?num=38613

    Пара примеров из недавнего. Поздравляю с обосрамс.

     
     
  • 8.41, Нимано (?), 03:20, 14/03/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну, если вы доверяете TurkTrust и французкой недо-АНБ, не слышали о пиннинге и ... весь текст скрыт [показать]
     
  • 2.12, Аноним (-), 16:02, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    как так угоняются? куда?
     
     
  • 3.15, Меломан1 (?), 17:23, 13/03/2016 [^] [ответить]    [к модератору]  
  • –4 +/
    > как так угоняются? куда?

    Когда твой трафик проходит через выходной узел владелец этого компьютера может его перехватывать и при наличии определенных возможностей скомпрометировать.  


     
     
  • 4.19, Аноним (-), 20:19, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    что он перехватит? и почему этого не сделает один из промежуточных узлов или узел входа?
     
     
  • 5.21, Аноним (-), 20:51, 13/03/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Выходной узел выпускает траффик в обычный интернет, снимая последний слой шифров... весь текст скрыт [показать]
     
  • 5.24, Меломан1 (?), 21:42, 13/03/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    логины, пароли и многое другое Внутренняя сеть тор зашифрована поэтому только н... весь текст скрыт [показать]
     
  • 1.10, Аноним (-), 15:20, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе,
    >графическое окружение основано на GNOME 3.

    угу угу

     
  • 1.27, pavlinux (ok), 22:16, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > качестве основы используется пакетная база Debian GNU/Linux.

    Exim есть? :)

     
  • 1.30, Омоним (?), 23:00, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть только те процессы, которым я лично разрешил...
     
     
  • 2.31, Led (ok), 23:05, 13/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть
    > только те процессы, которым я лично разрешил...

    man apparmor

    или жди дальше...

     
     
  • 3.32, Аноним (-), 23:23, 13/03/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес могёт
     
     
  • 4.44, Онаним (?), 07:38, 14/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес
    > могёт

    И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться от него блокировки доступа конкретного приложения в Интернет мне так и не удалось.

    Голый иптаблес давно уже не могёт. Мог, кажется, в ядре 2.4.

     
     
  • 5.51, Led (ok), 23:00, 14/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться
    > от него блокировки доступа конкретного приложения в Интернет мне так и
    > не удалось.

    Ведузятник должен страдать.

     
  • 3.43, Онаним (?), 07:35, 14/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная гуёвина) и разрешил её всё кроме доступа в сеть. И таки она вообще перестала запускаться. Как ни крутил, в терминале ругается на переменную $DISPLAY, кажется. Если просто вырубить сеть физически - работает норм, под виндой она же если заблокировать фаерволом (коих там, благо, множество - в этом огромный плюс винды) тоже прекрасно пашет.
     
     
  • 4.50, Led (ok), 23:00, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная
    > гуёвина) и разрешил её всё кроме доступа в сеть. И таки
    > она вообще перестала запускаться.

    Ведузоед должен страдать.

     
  • 2.34, Аноним (-), 00:59, 14/03/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Gentoo / LFS уже есть добрый десяток лет. Жди дальше.
     
  • 2.35, pavlinux (ok), 01:00, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    как два байта об асфальт - rm -f /usr/bin/bad_binarnik
     
  • 2.39, Аноним (-), 02:30, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    У меня torbrowser с policeman работает, а тут вообще вся система по такому принципу работает.
    Интересно :)
     
  • 2.46, SunXE (ok), 11:04, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Firewalld умеет.
     
  • 2.47, DmA (??), 13:24, 14/03/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    На Винде сиди, там есть начиная с Висты  брандмауэр в режиме повышенной безопасности, который может все исходящие соединения зарубить, а потом разрежи только те программы, которым нужен по твоему мнению доступ в сеть.
    А есть ещё AppLock, которым можно запретить запускать все приложения-экзешники, кроме разрешённых. Если эти обе эти две вещи настроить, то можно антивирусы отключить и жить спокойно, пока жёсткий диск не откажет :)
     
     
  • 3.52, Led (ok), 23:02, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну вот! Кто как не pussy.exe'шник поможе барту-вендузоеду?!
     
  • 1.53, Аноним (-), 10:25, 17/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Жду новый торЪ, сказали же скоро будет со хорошо стоячим крипто и хитронодами)))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor