Aunque la seguridad y la privacidad deberían de estar siempre en un lugar privilegiado, por lo que la falta de estas implica, parece que solo nos acordamos de ellas cuando ocurre algún caso de espionaje, vemos una noticia de alguna vulnerabilidad o de malware que afecta a nuestros sistemas basados en Linux. Pero no debería de ser así, y la seguridad debería ser algo que estuviese a la orden del día.
Para protegernos mejor, vamos a analizar una serie de sistemas operativos libres orientados a la seguridad, sí, has leído bien, no solo distribuciones Linux orientadas a la seguridad, también otros proyectos de código abierto de los que a veces nos olvidamos por tratarse de un blog cuya temática principal es Linux, pero que deberíamos tener presentes. Podríamos hablar también de Solaris y su funcionalidad Trusted, o de otros sistemas como EROS o su evolución CapROS de código abierto, el microkernel L4, pero nos centraremos en otros sisteas más «asequibles» para la mayoría de mortales, o al menos más conocidos.
Distribuciones Linux orientadas a la seguridad
No se trata de hacer un listado de distribuciones orientadas a hacer aditorías de seguridad o pentesting, como Kali, Parrot, Santoku, etc., sino de listar las distribuciones pensadas para que otros no te ataquen, que están endurecidas y blindadas contra ataques, que velan por nuestra seguridad, privacidad y anonimato. Aunque, tu distro favorita también puedes fortalecerla si quieres, y en este blog ya te hemos dado algunas claves, además debes ser consciente que la seguridad al 100% no existe:
Alpine Linux:
Alpine Linux es una distribución, que además de ser ligera, usa parches PaX y grsecurity en el kernel por defecto y compila todos los paquetes con protección «stack-smashing», es decir contra desbordamiento de buffer que pueden ser aprovechados para un ataque.
Annvix:
Annvix basada en Mandriva y orientada a tener un sistema seguro, con ProPolice para mejorar la seguridad, además de configuraciones seguras ya por defecto, etc.
Hardened Gentoo:
Hardened Gentoo, como su propio nombre indica, es una distro Gentoo fortalecida con ProPolice, PaX, y otros sistemas de seguridad como detección de intrusos, «mandatory access control», etc.
Immunix:
Immunix es una distribución comercial endurecida. Incluye StackGuard, encriptación, parches de seguridad, protección contra exploits, etc.
Mempo:
Mempo esconde una distro basada en Debian y orientada a la privacidad, haciendo uso de proyectos como Freenet o Tor.
Openwall Project:
Openwall Project es una distro que varía el código para tener una distro GNU/Linux con un diseño y un kernel Linux fortalecido e inspirado en otros proyectos y con una criptografía con un algoritmo blowfish modificado propio para el password hashing, y compatible con OpenBSD.
Qubes OS:
QubesOS es una distro pensada para ser inhackeable, o al menos eso dicen sus creadores. Basada en el hypervisor Xen, puede aislar los programas gracias a máquinas virtual que evitan que los problemas de estas o los peligros que impliquen, no afecten a la seguridad del sistema en sí.
Replicant:
Replicant es un Android que ha sustituido todo el código cerrado de Android por código abierto sustituto. Por tanto es una versión más libre del sistema de Google. Además, ha integrado ciertas mejoras de seguridad que fortalecen al sistema base. Puede ser una buena opción tanto para tu dispositivo móvil como para tu equipo de escritorio.
Subgraph OS:
Subgraph OS es otra distro para maniáticos de la seguridad que no tengan conocimientos demasiado elevados. Ya que desde el inicio, los desarrolladores se han encargado de todo para velar por nuestra seguridad, facilitando el trabajo al usuario final. Hace énfasis en la integridad del software, con Grsecurity, PaX, Linux Namespaces, Xpra para contenedores para aislar las aplicaciones, encriptación de ficheros, y otros puntos fuertes frente a ataques, además de Tor para la red.
Tails:
Tails o The Amnesic Incognito Live System, es otra distro muy popular de la que ya hemos hablado mucho. Se orienta a navegar de forma anónima y no dejar rastro por la red para respetar la seguridad. Dicen algunas fuentes que es el sistema operativo que utilizaba Edward Snowden, aunque hay que coger esta información con cuidado. No sabemos bien quién la desarrolla, pero sí que está basada en Debian y que usa Tor y I2P para el anonimato, además puede ser ejecutado en modo Live para ni siquiera tener que instalar en un equipo y dejar rastro…
Ubuntu Privacy Remix:
Ubuntu Privacy Remix, como su propio nombre indica, es una distro Ubuntu con una serie de herramientas para la privacidad.
Whonix:
Es otra de mis favoritas. Whonix también es una distro para obsesos de la seguridad. Se trata de una distro de proposito general que se basa en Debian y usa VirtualBox para crear una serie de máquinas virtuales sobre las que se ejecutan las aplicaciones y sobre las que funciona la web. Así aísla al sistema de malware o vulnerabilidades del software que usemos y de los peligros de la red. Una máquina virtual usa Tor (opcionalmente I2P) y actúa como gateway para la conexión y es llamada Whonix-Gateway. La otra máquina virtual es conocida como Whonix-Workstation y es donde se ejecutan las aplicaciones, totalmente aislada de la de red.
IprediaOS:
IprediaOS es un sistema operativo basado en Linux y que usa I2P para conexiones más anónimas. Además, su interfaz es bastante amigable, bonita y sencilla, por lo que no tendrás demasiados problemas con ella.
Security Onion:
Security Onion, por el nombre ya te puedes hacer una idea de lo que se trata. Es una distribución basada en Ubuntu que tiene una serie de herramientas de detección de intrusos y monitorización de seguridad. Entre las herramientas están Snort, Suricata, Sguil, Bro y Xplico.
Otros sistemas operativos orientados a la seguridad
En el mundo BSD también hay buenas alternativas. En este blog jamás hemos cerrado la puerta a BSD. Siempre hemos tratado de dar noticias y aportaciones de sistemas operativos alternativos de código abierto como FreeBSD, OpenBSD, etc. Pues bien, también hay tres de estos BSDs especialmente importantes en el ambito de la seguridad:
OpenBSD:
OpenBSD es un sistema operativo de código abierto tipo BSD y que se centra en la seguridad como un pilar principal para su desarrollo. El código es compilado de forma rigurosa por los miembros del equipo, revisando y aportando herramientas de seguridad, como la protección para las ejecuciones basada en ProPolice, ASLR soportado y activado por defecto, soporte PIE (Position-Independent Executable) para binarios, etc.
TrustedBSD:
TrustedBSD es un subproyecto de FreeBSD diseñado para tener una mejor seguridad. Para su seguridad usan los parámetros establecidos en el famoso Orange Book, el famoso libro de seguridad que tanto gusta a los hackers. Trabaja con listas de control de acceso, mandatory access controls, usa algunas otras extensiones para la seguridad, etc.
HardenedBSD:
HardenedBSD es un derivado o fork de FreeBSD y orientado también a la seguridad mejorada. El kernel es revisado y mejorado para reforzarlo, además de incluir otras herramientas interesantes como ASLR, PIE, PTrace hardening, y otras muchas funcionalidades para mejorar la seguridad. Quizás, junto con TrustedBSD, puede tener semejanzas con la seguridad de Solaris.
Consejos:
Mi consejo, no te obsesiones demasiado, solo lo justo. La seguridad es importante, pero no debes ser un obsesivo de esto. Puedes echarle un vistazo a todos estos proyectos, y ver lo mejor de cada uno para aplicarlo a tu distro preferida. Por ejemplo, si usas ElementaryOS, Ubuntu, Mint, openSuSE o cualquier otra, puedes instalar los paquetes y herramientas que tienen algunas de ellas, mantenerla siempre actualizada, usar sistemas de encriptación, o incluso usar contenedores para ejecutar aplicaciones con Docker, etc.
En este blog ya hemos editado otros artículos que te pueden interesar también y referentes a la seguridad:
- IPTABLES introducción y tipos de tablas
- Squid paso a paso
- Hardened Linux
- Tres herramientas para mantener tu equipo a salvo
- Cortafuegos sencillo
- Protegerte de malware
En cuanto a las distros, ¿a cuál de todas les debes prestar especial atención?, pues yo te recomendaría Whonix para uso genérico y Tails para navegar…. Puedes dejar tus comentarios y aportaciones. Espero que te sirva de ayuda para elegir tu preferida. Si quieres comparar algunos de estos sistemas operativos, puedes consultar esta web en la que se compara Whonix con otros proyectos.
Wow.
Los felicito por su blog y esta nota no sabia de la existencia de todas estas distritos.
Muchisimas gracias. :)
Me hiciste acordar de la distro Tails que fue una de las primeras que había probado cuando inice en el mundo Linux hace unos 5 años atrás, otras como Whonix o IprediaOS (el cual este ultimo me llama mucho la atención y voy a probarlo), de por si, mis consejos para otros usuarios en cuanto a seguridad, como bien han dicho muchas veces, es que no se inquieten tanto cuando aparezcan noticias de malware de Linux, que a pesar de que han aparecido mas en lso ultimos meses, no son de gran masividad como en Windows, y otra es usar «RkHunter» o «ChkRootKit», para la verificación de BackDoors o Malware que haya y siempre revisar al instalar nuevas actualizaciones que versiones se van a instalar de las librerias y el kernel,luego, usar tranquilos Linux que desde mi experiencia laboral y personal, Linux en 5 años contadas (MUY CONTADAS) veces me ha traido problemas de virus o S.O
aquí estamos de nuevo con el infame linux y su reguero de distribuciones horrendas
según aquí seguras cuando ni la vida lo es lo único seguro es la muerte retraso/linux
fracaso/linux disparate/linux abajo/linux
solo conocia 2 gracias por el post :)
Linux es lo mejor. No hagan caso a los típicos trolls