The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

13.03.2016 14:33  Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе

После двух лет разработки доступен первый альфа-выпуск проекта Subgraph OS, в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Для загрузки доступен iso-образ размером 1.5 Гб.

Разработчики Subgraph не считают, что ценой высокой безопасности должны быть ограничения и неудобства в работе, и пытаются предоставить максимально простое и удобное для конечных пользователей решение. Базовое графическое окружение основано на GNOME 3. В качестве почтового клиента предлагается Subgraph Mail, написанный с нуля с оглядкой на предоставление встроенной поддержки безопасных коммуникаций, идентификации отправителя и проверки сообщений по цифровой подписи (используется встроенная реализация OpenPGP). В качестве браузера применяется Tor Browser. Для мгновенного обмена сообщениями используется CoyIM c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).

Все сетевые запросы приложений по умолчанию перехватываютя компонентом Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети осуществляется на основе белого списка, в который включены приложения, которым разрешена сетевая активность по определённым сетевым портам. Трафик разных приложений отправляется через разные цепочки узлов Tor. При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, через задействование динамического межсетевого экрана пользователю выводится диалог с предложением подтвердить или отклонить операцию.

Для изоляции приложений применяется технология sandbox-контейнеров oz, в которой для изоляции применяются пространства имён, Seccomp filter, Capabilities и прослойка Xpra, изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, рабочему столу (открыт доступ только в своё окно), другим процессам, системным вызовам, полностью контролируются обращения по сети.

Ядро Linux собрано с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Компоненты дистрибутива написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. В качестве основы используется пакетная база Debian GNU/Linux. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий повторяемость сборок (пересборка пользователем приведёт к формированию полностью совпадающих исполняемых файлов).

По сравнению с системой Qubes, использующей полноценные механизмы виртуализации для изоляции разных типов приложений, применение контейнеров позволило значительно снизить требования к имеющимся ресурсам, для работы Subgraph требуется 64-разрядный CPU Core2Duo (или новее), 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб места на диске. При этом, в Twitter (@rootkovska, @attractr, @subgraph) и списке рассылки ведутся переговоры о сотрудничестве проектов Subgraph OS и Qubes, в рамках которого для Qubes в ближайшее время может быть подготовлен образ VM с Subgraph.



  1. Главная ссылка к новости (https://subgraph.com/sgos/down...)
  2. OpenNews: Релиз ОС Qubes 3.1, использующей виртуализацию для изоляции приложений
  3. OpenNews: Выпуск Firejail 0.9.38, инструмента для изоляции приложений
  4. OpenNews: OpenBSD развивает Pledge, новый механизм изоляции приложений
  5. OpenNews: Представлен Otto, инструментарий для создания микросервисов из изолированных приложений
  6. OpenNews: Первый выпуск инструментария для запуска приложений GNOME в изолированных контейнерах
Лицензия: CC-BY
Тип: Программы
Ключевые слова: subgraph, container, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 14:36, 13/03/2016 [ответить] [смотреть все]
  • +4 +/
    шо, опять ... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 14:38, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +11 +/
    Конкуренция не помешает. Пусть будет.
     
     
  • 3.26, Аноним, 22:14, 13/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А смысл Можно лучше сделать Берешь firejail и нарезаешь на контейнеры Хоть ка... весь текст скрыт [показать]
     
     
  • 4.48, SysA, 15:04, 14/03/2016 [^] [ответить] [смотреть все]  
  • +/
    systemd-nspawn А как вы об едините картинку от разных контайнеров на общем д... весь текст скрыт [показать]
     
  • 2.6, Аноним, 14:52, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –8 +/
    Нынче это прибыльно Школота из года в год тупее и тупее Вишь, даже кэртинкэ на... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 16:49, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Пиксель-арт http www listoid com image 100 list_59_100_20101124_090212_388 pn... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 17:34, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Так а может есть какая тулза чтобы в пиксельарте рисовать схемы?
     
  • 1.3, Аноним, 14:44, 13/03/2016 [ответить] [смотреть все]  
  • +4 +/
    Взаимоисключающие параграфы ... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 14:51, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они хотели сказать - Максимально примитивное, и удобное с точки зрения его разра... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Меломан1, 15:05, 13/03/2016 [ответить] [смотреть все]  
  • –2 +/
    >Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам

    Идея хорошая, только использование Тор не вяжется с этой концепцией. Тор можно использовать только в качестве анонимайзера и к безопасности не имеет никакого отношения, скорее наоборот ведь на выходе все пароли от почты и интернет-банкинга угоняются.

     
     
  • 2.8, MPEG LA, 15:10, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    почта и банкинг без https ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, sage, 15:18, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот-вот, никогда не понимал этого аргумента.
     
  • 3.14, Меломан1, 17:11, 13/03/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    MITM ... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 19:57, 13/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    mitm без подмены сертификата? да Вы, батенька, фантазер :)
     
     
  • 5.20, Аноним, 20:48, 13/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Так CA много разных, а оплошать достаточно одному.
     
     
  • 6.22, MPEG LA, 20:53, 13/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    > Так CA много разных, а оплошать достаточно одному.

    тогда при чем тут Tor?

     
     
  • 7.28, Аноним, 22:26, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Сам по себе - не при чем Но за exit nodes нужен глаз да глаз Поэтому в ответст... весь текст скрыт [показать]
     
  • 5.23, Меломан1, 21:32, 13/03/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    mitmproxy генерирует подложный сертификат ... весь текст скрыт [показать]
     
     
  • 6.25, MPEG LA, 22:08, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    и что браузер пропускает без вопросов ... весь текст скрыт [показать]
     
     
  • 7.37, Меломан1, 01:46, 14/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy... весь текст скрыт [показать]
     
     
  • 8.42, Нимано, 03:29, 14/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Оригинально и весьма ловко Стесняюсь спросить, а не проще ли, учитывая обычные... весь текст скрыт [показать]
     
  • 6.29, Аноним, 22:33, 13/03/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Сгенерируйте-ка пожалуйста для начала подложный сертификат для опеннета ... весь текст скрыт [показать]
     
     
  • 7.33, Аноним, 00:58, 14/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    https www opennet ru opennews art shtml num 35754 https www opennet ru openn... весь текст скрыт [показать]
     
     
  • 8.41, Нимано, 03:20, 14/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, если вы доверяете TurkTrust и французкой недо-АНБ, не слышали о пиннинге и ... весь текст скрыт [показать]
     
  • 2.12, Аноним, 16:02, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    как так угоняются? куда?
     
     
  • 3.15, Меломан1, 17:23, 13/03/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    Когда твой трафик проходит через выходной узел владелец этого компьютера может е... весь текст скрыт [показать]
     
     
  • 4.19, Аноним, 20:19, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    что он перехватит и почему этого не сделает один из промежуточных узлов или узе... весь текст скрыт [показать]
     
     
  • 5.21, Аноним, 20:51, 13/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Выходной узел выпускает траффик в обычный интернет, снимая последний слой шифров... весь текст скрыт [показать]
     
  • 5.24, Меломан1, 21:42, 13/03/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    логины, пароли и многое другое Внутренняя сеть тор зашифрована поэтому только н... весь текст скрыт [показать]
     
  • 1.10, Аноним, 15:20, 13/03/2016 [ответить] [смотреть все]  
  • +/
    угу угу ... весь текст скрыт [показать]
     
  • 1.27, pavlinux, 22:16, 13/03/2016 [ответить] [смотреть все]  
  • +3 +/
    > качестве основы используется пакетная база Debian GNU/Linux.

    Exim есть? :)

     
  • 1.30, Омоним, 23:00, 13/03/2016 [ответить] [смотреть все]  
  • –1 +/
    Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть только те процессы, которым я лично разрешил...
     
     
  • 2.31, Led, 23:05, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    man apparmor или жди дальше ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 23:23, 13/03/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    лучше selinux, ибо apparmor 8212 непонятная херня, да впринципе, и голый ипта... весь текст скрыт [показать]
     
     
  • 4.44, Онаним, 07:38, 14/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    И selinux я курил видос с stopdisablingselinux com несколько мануалов , но до... весь текст скрыт [показать]
     
     
  • 5.51, Led, 23:00, 14/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ведузятник должен страдать ... весь текст скрыт [показать]
     
  • 3.43, Онаним, 07:35, 14/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы не поверите apparmor я изучил, сделал профиль для конкретного бинарника про... весь текст скрыт [показать]
     
     
  • 4.50, Led, 23:00, 14/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Ведузоед должен страдать ... весь текст скрыт [показать]
     
  • 2.34, Аноним, 00:59, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Gentoo / LFS уже есть добрый десяток лет. Жди дальше.
     
  • 2.35, pavlinux, 01:00, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    как два байта об асфальт - rm -f /usr/bin/bad_binarnik
     
  • 2.39, Аноним, 02:30, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У меня torbrowser с policeman работает, а тут вообще вся система по такому принц... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, SunXE, 11:04, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Firewalld умеет.
     
  • 2.47, DmA, 13:24, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    На Винде сиди, там есть начиная с Висты  брандмауэр в режиме повышенной безопасности, который может все исходящие соединения зарубить, а потом разрежи только те программы, которым нужен по твоему мнению доступ в сеть.
    А есть ещё AppLock, которым можно запретить запускать все приложения-экзешники, кроме разрешённых. Если эти обе эти две вещи настроить, то можно антивирусы отключить и жить спокойно, пока жёсткий диск не откажет :)
     
     
  • 3.52, Led, 23:02, 14/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну вот! Кто как не pussy.exe'шник поможе барту-вендузоеду?!
     
  • 1.53, Аноним, 10:25, 17/03/2016 [ответить] [смотреть все]  
  • +/
    Жду новый торЪ, сказали же скоро будет со хорошо стоячим крипто и хитронодами ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList