퍼피 리눅스 보안 모델은 언제 합리적입니까?

방금 몇 시간 동안 Puppy linux를 가지고 놀았습니다.이 기능에는 아주 좋은 기능이 있지만 보안에 대한 접근 방식 (적어도 기본 설정)에 대해 걱정할 사항이 있습니다.

1. 그것을 사용하는 의도 된 방법은 모든 것을 루트로 실행하는 것 같습니다
2. 루트 암호가 없습니다 (기본적으로 물론 추가 할 수 있습니다)
3. 내가 알 수있는 한 패키지에 대한 보안 업데이트를 얻는 자동화 된 (또는 단순한 자동화되지 않은) 방법은 없습니다. (뭔가를 놓쳤을 수도 있습니다.)

저는 항상 복잡한 암호를 사용하고, 인터넷을 관리자 / 루트 사용자로 탐색하지 않고, 시스템 소프트웨어 (및 브라우저 및 플러그인)를 최신 취약점에 대한 패치로 최신 상태로 유지하는 것의 중요성을 머릿속에 들었습니다. 그러나 위와 같은 재난을위한 레시피처럼 보이는 강아지에도 불구하고, 강아지는 많은 분사를 할 정도로 인기가 높기 때문에 명백한 보안 부족이 중요하지 않은 시나리오가 있어야합니다. 그들은 무엇인가?

강아지는 애호가를위한 장난감 배포판입니다. 이것이 Puppy (부족) 보안 모델이 적합한 유일한 시나리오입니다.

정보 보안을 연구하는 기관은 침입 통계를 바탕으로 완화 전략을 발표합니다. 다음은 호주 정부의 목록입니다.

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

그들은 상위 4 가지 전략을 따르면 침입의 85 %가 중단 될 것으로 추정합니다. 이것들은:

1. PDF 뷰어, Flash Player, Microsoft Office 및 Java와 같은 패치 응용 프로그램 고위험 취약성을 위해 2 일 이내에 패치 또는 완화하십시오. 최신 버전의 응용 프로그램을 사용하십시오.

2. 패치 운영 체제 취약점. 고위험 취약성을 위해 2 일 이내에 패치 또는 완화하십시오. 최신 운영 체제 버전을 사용하십시오.

3. 도메인 또는 로컬 관리 권한이있는 사용자 수를 최소화하십시오. 이러한 사용자는 이메일 및 웹 브라우징을 위해 별도의 권한이없는 계정을 사용해야합니다.

4. Microsoft 소프트웨어 제한 정책 또는 AppLocker를 사용하여 악의적 인 소프트웨어 및 기타 승인되지 않은 프로그램이 실행되지 않도록하는 응용 프로그램 허용 목록

강아지는이 모든 수에 실패합니다. Fedora, OpenSUSE, Debian 등과 같은 심각한 배포판은 훨씬 안전합니다. 이 배포판은 모두 적시에 보안 패치를 제공하고 AppArmor 및 / 또는 SELinux를 통해 응용 프로그램 허용 목록을 제공하며 물론 모든 것을 루트 (정직하게는 wtf?)로 실행하지 않는 활성 보안 메일 링리스트를 가지고 있습니다.

보안을 소중히 생각한다면 강아지를 진지하게 사용하지 마십시오.

어셈블리에서 Oracle 데이터베이스 관리에 이르기까지 수십 개의 언어로 30 년 이상 프로그래밍했으며 Puppy Linux 보다 더 안전하고 신뢰할 수있는 것은 없습니다 .

모든 유닉스 / 리눅스 시스템과 마찬가지로, 퍼피 리눅스 보안은 가장 친숙한 Microsoft와는 매우 다른 세계입니다. 다른 답변으로 표현 된 비난은 Microsoft의 관점에서 완전히 이해할 수 있지만 보안에 대한 다른 접근 방법이 없다는 이해에서 비롯됩니다.

일반적으로 Microsoft Windows O / S는 명시 적으로 거부되지 않는 한 모든 것에 대한 전체 액세스를 가정합니다. 유닉스 / 리눅스는 명시 적으로 허가되지 않는 한 어떤 것도 접근 할 수 없다고 가정합니다. 이것은 무단 액세스를 막는 데 큰 도움이됩니다.

* nix root사용자에게는 대부분의 모든 것에 대한 전체 액세스 권한이 부여 되지만 root, 실행 권한 플래그가 설정되지 않은 파일을 실행 하거나 비밀번호 또는 사전 정렬 된 키 공유없이 SSH 를 통해 다른 호스트에 연결하는 것과 같은 일을 일상적으로 수행 할 수는 없습니다 .

"기본"Linux와 달리 Puppy Linux는 단일 사용자 환경 에 최적화되었습니다 . 단일 사용자 root는 해당 시스템을 완벽하게 제어 할 수 있으므로 침입자로부터보다 안전하게 보호 할 수 있습니다. 여러 사용자를 수용해야하는 경우 다른 많은 훌륭한 Linux 배포판 중 하나를 사용해보십시오.

Puppy Linux의 unionfs / aufs 스태킹 파일 시스템 사용은 최근에 변경된 파일을 제외한 모든 파일을 읽기 전용 계층에 보관합니다. 이것은 "실행 취소"기능을 제공하여 전체 시스템을 양호한 상태로 쉽게 복원 할 수있게합니다. 최후의 수단으로, 분산 된 원래 시스템은 맨 아래 계층의 후속 변경 사항을 유지하면서 다시 부팅 할 수있는 맨 아래 읽기 전용 계층에 유지됩니다.

드물게 논의되었지만 소프트웨어의 빈번한 패치는 여러 개의 칼로 이루어져 있습니다. 새 버전은 항상 기존 하드웨어를 수용해야하므로 이전 소프트웨어 및 하드웨어와 상호 운용 할 때 종종 결함이 발생합니다. 당신은 유지하려는 경우 왜 사용자들은 아무것도 최신, 당신이 계속해야 모든 최신 상태를 유지합니다.

패치는 Microsoft 환경에서 유일하게 실행 가능한 방어책 일 수 있지만 모든 Linux에는 최신이 아닌 하드웨어에서 실행되는 동안 시스템을 안전하게 유지하기위한 대규모 도구 상자가 제공됩니다.

강아지 리눅스는 주로 프로그래머, 시스템 관리자 및 분석가가 일상적인 컴퓨팅 요구에 대해 다음과 같은 작업을 수행하는 데 사용됩니다 ...

• 여러 컴퓨터 / 사용자로부터 수십 개의 웹 사이트를 동시에 인터넷에 액세스 할 수 있습니다.
• 거의 모든 언어로 소프트웨어 개발
• 끝없는 순열과 소프트웨어 구성의 조합을 실험합니다.
• ... 여기서 질문에 답변하면서 이메일과 소셜 미디어를 확인합니다.

표준 '심각한'Linux 패러다임 은 잘못된 보안 감각을 제공 할뿐 아니라 액세스 거부 (누구의 컴퓨터?)로 인해 때때로 실망감을 줄 수 있습니다 . 따라서 www에 연결되어있는 동안에도 많은 응용 프로그램을 '루트'로 실행해야합니다. 우연히, 나는 '실시간'강아지를 사용하여 고의적으로 '과도하게 안전한'데비안 기반 설치를 해체했습니다. 또한 ~ 100 % ASM으로 작성된 KolibriOS ( 'Hummingbird OS')와 동일한 작업을 수행했으며 주장 된 '방어'를 인식하지 못합니다. 예를 들어, ext4로 포맷 된 외부 저장 매체에서 'lost & found'폴더는 대부분의 Linux에는 고정되어 있지만 강아지에는 고정되지 않습니다.

어쨌든 (AFAIK) 가장 취약한 잠재적 공격 / 오염 벡터 / 응용 프로그램 인 웹 브라우저는 일반적으로 '루트'로 실행되지 않습니다. 보안을 위해 개인 브라우징 모드, https 및 방화벽, 웹 브라우저 방화벽 (위)이 있으며 강력한 BleachBit 클리너를 잊지 마십시오.

업데이트 부족과 관련하여 필자의 경험에 따르면 MSW는 지속적으로 업데이트 / 패치되지만 가장 안전한 시스템은 아닙니다. 일정한 패치를 적용한 약 1 주일 이내에 중단되는 Linux 버전의 롤링 릴리스 Linuxen; 비교적 적은 업데이트를 가진 LTS Linuxen, '그냥 작동'; 그래서 (버전에 따라) 강아지의 업데이트의 상대적 부족은 우려의 거짓 영역, 심각하게 방해 하나가 될 수 있습니다 나를 내가 좀 더 발견 될 때까지.

Puppy의 중요한 보안 기능은 각 세션을 표준 또는 고유 파일로 저장하거나 저장하지 않을 수 있으므로 ( 'frugal'설치에서) 기본 또는 고유 파일로 저장 될 수 있으므로 특정 세션에 대해 'bepoke'세션을 실행할 수 있다는 것입니다 로그 아웃 / 로그인이 '정상적인'사용으로 돌아가도록 요구합니다. 특정 목적으로 제한된 사용자 계정을 추가 할 수도 있습니다. 검소한 설치가 사실상 '실시간'시스템 인 경우, 강아지는 올바르게 사용된다면 실제로는 '정상'Linuxen보다 더 안전 할 수 있습니다.

참고 문헌 :

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

마지막으로, 등록이 필요한 포럼에 참여하지 말고 항상 '고스트'이메일 주소를 사용하십시오.

이미 언급했듯이 강아지는 다른 보안 모델 (또는 원하는 경우 다른 패러다임)을 사용하며 실제 환경에서 경험적으로 판단해야합니다. 내 경험은 다음과 같이 요약 될 수 있습니다.

• 데비안 : 앱이 집으로 전화를 걸어 해킹당했습니다.
• 슬랙웨어 : 해킹.
• 아치 : 해킹 당할 정도로 오랫동안 안정을 유지하지 못했습니다.
• Windows XP : Microsoft에 등록한 후 이더넷 드라이버를 제거합니다. '그런가 말했다.
• OpenBSD : 해킹. 예, 알아요
• DragonFlyBSD : 전혀 실행되지 않으면 절대 침투하지 않습니다.
• FreeBSD : 지금까지는 너무 좋습니다. PF 사용. 8 개월 미만 사용
• 강아지 : 6 년 만에 해킹 당하지 않았습니다. 절대로 . 단순성과 신뢰성이 필요한 경우 여전히 주요 배포판입니다.

반복해서 : 강아지는 다른 모델을 사용합니다. 많은 사람들이 본질적으로 안전한 모델이라고 생각합니다. 전통적인 유닉스와 비교하면 Windows 또는 ______는 사과를 오렌지와 비교합니다.

저는 2000 년 이후로 리눅스 전용이었으며 외부 바이러스는 없었습니다. 오래된 Windows 하드 드라이브를 사용하여 일부 파일을 이동할 때 한 번 감염되었습니다. Clamtkl을 실행하여 모두 정리했습니다.

나는 몇 년 동안 Puppylinux를 사용 해왔다. 여전히 어떤 종류의 바이러스에도 문제가 없습니다. Windows 사람들은 "어떻게 가능합니까?"와 같이 머리를 긁습니다.

나에게 그것은 자전거 운전자에게 "어떻게 두 바퀴만으로 운전할 수 있습니까?"

강아지는 세션 관리에만 dbus를 사용합니다. 따라서 Active-x처럼 퍼지는 것은 없습니다.

Sylpheed 전자 메일 클라이언트를 사용합니다. 이는 일반 텍스트 전용입니다.

나는 대부분의 것들이 비활성화 된 오래된 오페라를 사용합니다. 지금하고있는 것처럼 게시하기 위해 JS를 켭니다.

CD로 부팅하기 때문에 매번 새로운 시작입니다. 하드 드라이브에 운영 체제가 없습니다.

부팅 할 때 약 15 개의 프로세스를 중단하고 계산할 수 있습니다. 그리고 나는 그들 모두를 알고 있습니다. 루트로서 내 눈에는 아무것도 숨겨져 있지 않습니다.

몇 년 동안 상업용 웹 사이트 기술 지원을했기 때문에 일반적인 컴퓨터 사용자는 아닙니다.

Windows는 부팅 옵션을 제한하고 하드 드라이브를 암호화하며 프로그램을 암호화 또는 해시하며 감염된 후에 항상 보안 패치를 적용합니다. 그러나 그들은 계속해서 Active-x와 동등한 메커니즘을 사용하여 세균을 퍼뜨립니다.

사람들은 스프레드 시트와 모든 것을 여는 웹 링크를 클릭하려고합니다. 그리고 사람들은 암호가 더 편리하기 때문에 브라우저에 암호를 저장해야한다고 주장합니다.

많은 Windows 사용자가 엄청나게 복잡한 로그온을했으며 여전히 바이러스에 감염된 이유를 이해할 수 없습니다. 나머지 기계는 넓은 문이기 때문입니다.

마치 "깨끗한"바늘을 가지고 마약을 사용하는 사람들과 같습니다.

이것이 보안과 "강아지 길"에 대한 오해를 해결할 수 있기를 바랍니다.

Puppy Linux와 같은 것이 안전하다고 생각되는 한 가지 상황에 대해 생각했습니다. (따라서 의견을 환영합니다.) 마운트 가능한 저장 장치가없는 시스템의 라이브 CD에서 실행하는 경우 (하드 드라이브가 없음을 의미 함) 패치를 적용하지 않은 브라우저의 일부 취약점을 악용하는 웹 사이트를 방문하더라도 다음에 시스템을 재부팅하면 시스템이 깨끗해집니다. * 물론 이러한 웹 사이트를 방문하고 재부팅 할 때 입력 한 비밀번호를 포착하는 키로거가있을 수 있으므로, 어디에서 로그인하지 않더라도 북마크 된 웹 사이트 만 방문해야합니다. USB 플래시 드라이브에 파일을 저장할 수 있습니다.

* BIOS 나 다른 펌웨어를 감염시킬 수있는 바이러스 (고맙게도 드문 일이지만)에 대해 읽었으며,이 경우 재부팅이 도움이되지 않습니다.

sml가 물었다 : "또한 강아지를 추천하는 경찰에게 링크를 제공 할 수 있습니까?"

뉴 사우스 웨일즈 경찰의 컴퓨터 범죄 수 사단의 브루스 판 데르 그라프 형사는 사이버 범죄에 대한 공청회에서 뉴 사우스 웨일즈 정부를 대표하여 증거를 제시 할 때 특히 퍼피 리눅스를 권장합니다. 온라인 뱅킹과 같은 인터넷상에서 상업적 거래를 안전하게 수행하는 주요 방법

자세한 내용은 다음을 참조 하십시오 : http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

그리고 우연히도, 퍼피 리눅스 제작에 참여한 사람들은 그것을 "토이 배포판"으로 간주하지 않습니다.

나는 강아지 리눅스가 6 년 동안 검소한 설치로 사용되는 것에 대해 들어 본 적이 없다. 나는 강아지가 대부분의 서비스를 끈 상태에서 실행하기 때문이라고 생각합니다 (Shields Up과 같은 웹 보안 사이트를 사용해보십시오. Linux Educator로서의 작업의 일환으로 광범위한 보안 테스트를 수행했으며 강아지가 우분투보다 더 안전하다는 것을 알았습니다 물론 웹상에서 하드 드라이브를 마운트하지 않은 브라우저가 매우 안전한 브라우저를 사용하여 라이브 CD로 리마스터로 강아지를 실행하는 경우 경찰이 권장하는 방법입니다. 완전히 안전한 시스템을 위해 전 세계의 세력.