Encara que la seguretat i la privacitat haurien d'estar sempre en un lloc privilegiat, De manera que la manca d'aquestes implica, sembla que només ens recordem d'elles quan ocorre algun cas d'espionatge, veiem una notícia d'alguna vulnerabilitat o de malware que afecta els nostres sistemes basats en Linux. Però no hauria de ser així, i la seguretat hauria de ser una cosa que estigués a l'ordre del dia.
Per protegir-nos millor, anem a analitzar una sèrie de sistemes operatius lliures orientats a la seguretat, sí, has llegit bé, no només distribucions Linux orientades a la seguretat, També altres projectes de codi obert dels que de vegades ens oblidem per tractar-se d'un bloc la temàtica principal és Linux, però que hauríem de tenir presents. Podríem parlar també de Solaris i la seva funcionalitat Trusted, o d'altres sistemes com EROS o la seva evolució CapROS de codi obert, el microkernel L4, però ens centrarem en altres sisteas més «assequibles» per a la majoria de mortals, o al menys més coneguts.
Distribucions Linux orientades a la seguretat
No es tracta de fer un llistat de distribucions orientades a fer aditorías de seguretat o pentesting, com Kali, Parrot, Santoku, etc., sinó de llistar les distribucions pensades perquè uns altres no t'ataquin, que estan endurides i blindades contra atacs, que vetllen per la nostra seguretat, privacitat i anonimat. Encara que, la teva distro favorita també pots enfortir-la si vols, i en aquest blog ja t'hem donat algunes claus, a més has de ser conscient que la seguretat a el 100% no existeix:
Alpine Linux:
Alpine Linux és una distribució, que a més de ser lleugera, usa pegats PaX i GrSecurity en el nucli per defecte i compila tots els paquets amb protecció «stack-smashing», és a dir contra desbordament de memòria intermèdia que poden ser aprofitats per a un atac.
Annvix:
Annvix basada a Mandriva i orientada a tenir un sistema segur, amb ProPolice per millorar la seguretat, a més de configuracions segures ja per defecte, etc.
Hardened Gentoo:
Hardened Gentoo, com el seu propi nom indica, és una distro Gentoo enfortida amb ProPolice, PaX, i altres sistemes de seguretat com detecció d'intrusos, «mandatory access control», etc.
Immunix:
Immunix és una distribució comercial endurida. Inclou StackGuard, encriptació, pegats de seguretat, protecció contra gestes, etc.
Mempo:
Mempo amaga una distro basada en Debian i orientada a la privacitat, fent ús de projectes com Freenet o Tor.
Openwall Project:
Openwall Project és una distro que varia el codi per tenir una distro GNU / Linux amb un disseny i un nucli Linux enfortit i inspirat en altres projectes i amb una criptografia amb un algoritme blowfish modificat propi per al password hashing, i compatible amb OpenBSD.
Qubes US:
QubesOS és una distro pensada per ser inhackeable, O al menys això diuen els seus creadors. Basada en el hypervisor Xen, pot aïllar els programes gràcies a màquines virtual que eviten que els problemes d'aquestes o els perills que impliquin, no afectin la seguretat de sistema en si.
Replicant:
Replicant és un Android que ha substituït tot el codi tancat d'Android per codi obert substitut. Per tant és una versió més lliure de sistema de Google. A més, ha integrat certes millores de seguretat que enforteixen el sistema base. Pot ser una bona opció tant per al teu dispositiu mòbil com per al teu equip d'escriptori.
Subgraph US:
Subgraph US és una altra distro per a maniàtics de la seguretat que no tinguin coneixements massa elevats. Ja que des de l'inici, els desenvolupadors s'han encarregat de tot per vetllar per la nostra seguretat, facilitant el treball a l'usuari final. Fa èmfasi en la integritat del programari, amb GrSecurity, PaX, Linux Namespaces, Xpra per a contenidors per aïllar les aplicacions, encriptació de fitxers, i altres punts forts davant d'atacs, a més de Tor per la xarxa.
Cues:
Tails o The Amnesic Incognito Live System, És una altra distro molt popular de la qual ja hem parlat molt. S'orienta a navegar de forma anònima i no deixar rastre per la xarxa per respectar la seguretat. Diuen algunes fonts que és el sistema operatiu que utilitzava Edward Snowden, tot i que cal agafar aquesta informació amb cura. No sabem bé qui la desenvolupa, però sí que està basada en Debian i que utilitza Tor i I2P per l'anonimat, a més pot ser executat en mode Live per ni tan sols haver d'instal·lar en un equip i deixar rastre ...
Ubuntu Privacy Remix:
Ubuntu Privacy Remix, Com el seu propi nom indica, és una distro Ubuntu amb una sèrie d'eines per a la privacitat.
Whonix:
És una altra de les meves favorites. Whonix també és una distro per obsessos de la seguretat. Es tracta d'una distro de propòsit general que es basa en Debian i fa servir VirtualBox per crear una sèrie de màquines virtuals sobre les que s'executen les aplicacions i sobre les que funciona la web. Així aïlla el sistema de malware o vulnerabilitats del programari que usem i dels perills de la xarxa. Una màquina virtual fa servir Tor (opcionalment I2P) i actua com a gateway per a la connexió i és cridada Whonix-Gateway. L'altra màquina virtual és coneguda com Whonix-Workstation i és on s'executen les aplicacions, totalment aïllada de la de xarxa.
IprediaOS:
IprediaOS és un sistema operatiu basat en Linux i que fa servir I2P per a connexions més anònimes. A més, la seva interfície és bastant amigable, bonica i senzilla, per la qual cosa no tindràs massa problemes amb ella.
Security Onion:
Ceba de seguretat, Pel nom ja et pots fer una idea del que es tracta. És una distribució basada en Ubuntu que té una sèrie d'eines de detecció d'intrusos i monitorització de seguretat. Entre les eines estan Snort, Suricata, Sguil, Bro i Xplico.
Altres sistemes operatius orientats a la seguretat
Al món BSD també hi ha bones alternatives. En aquest blog mai hem tancat la porta a BSD. Sempre hem tractat de donar notícies i aportacions de sistemes operatius alternatius de codi obert com FreeBSD, OpenBSD, etc. Doncs bé, també hi ha tres d'aquests BSDs especialment importants en l'àmbit de la seguretat:
OpenBSD:
OpenBSD és un sistema operatiu de codi obert BSD i que se centra en la seguretat com un pilar principal per al seu desenvolupament. El codi és compilat de forma rigorosa pels membres de l'equip, revisant i aportant eines de seguretat, com la protecció per a les execucions basada en ProPolice, ASLR suportat i activat per defecte, suport PEU (Position-Independent Executable) per binaris, etc.
TrustedBSD:
TrustedBSD és un subprojecte de FreeBSD dissenyat per tenir una millor seguretat. Per a la seva seguretat fan servir els paràmetres establerts en el famós Orange Book, el famós llibre de seguretat que tant agrada als hackers. Treballa amb llistes de control d'accés, mandatory access controls, fa servir algunes altres extensions per a la seguretat, etc.
HardenedBSD:
HardenedBSD és un derivat o fork de FreeBSD i orientat també a la seguretat millorada. El nucli és revisat i millorat per reforçar-lo, a més d'incloure altres eines interessants com ASLR, PEU, ptrace hardening, i moltes altres funcionalitats per millorar la seguretat. Potser, juntament amb TrustedBSD, pot tenir semblances amb la seguretat de Solaris.
Consells:
El meu consell, No t'obsessionis massa, només el just. La seguretat és important, però no has de ser un obsessiu d'això. Pots fer-li un cop d'ull a tots aquests projectes, i veure el millor de cada un per aplicar-lo a la teva distro preferida. Per exemple, si fas servir ElementaryOS, Ubuntu, Mint, OpenSUSE o qualsevol altra, pots instal·lar els paquets i eines que tenen algunes d'elles, mantenir sempre actualitzada, fer servir sistemes d'encriptació, o fins i tot utilitzar contenidors per a engegar aplicacions amb Docker, etc.
En aquest blog ja hem editat altres articles que et poden interessar també i referents a la seguretat:
- IPTABLES introducció i tipus de taules
- Squid pas a pas
- hardened Linux
- Tres eines per mantenir el teu equip fora de perill
- tallafocs senzill
- Protegir-te de malware
Pel que fa a les distros, ¿a quina de totes les has de prestar especial atenció ?, doncs jo et recomanaria Whonix per a ús genèric i Tails per navegar.... Pots deixar els teus comentaris i aportacions. Espero que et serveixi d'ajuda per triar el teu preferida. Si vols comparar alguns d'aquests sistemes operatius, pots consultar aquesta web en què es compara Whonix amb altres projectes.
Wow.
Els felicito pel seu blog i aquesta nota no sàvia de l'existència de totes aquestes districtes.
Moltíssimes gràcies. :)
Em vas fer acordar de la distro Tails que va ser una de les primeres que havia provat quan INICE en el món Linux fa uns 5 anys enrere, altres com Whonix o IprediaOS (el qual aquest últim em crida molt l'atenció i vaig a provar-ho), de per si, els meus consells per a altres usuaris pel que fa a seguretat, com bé han dit moltes vegades, és que no us preocupeu tant quan apareguin notícies de malware de Linux, que tot i que han aparegut més en lso últims mesos, no són de gran massivitat com en Windows, i una altra és fer servir «rkhunter» o «chkrootkit», per a la verificació de backdoors o Malware que hi hagi i sempre revisar a l'instal·lar noves actualitzacions que versions es van a instal·lar de les llibreries i el nucli, després, utilitzar tranquils Linux que des del meu experiència laboral i personal, Linux en 5 anys comptades (MOLT cONTADES) vegades m'ha portat problemes de virus o SO
aquí estem de nou amb l'infame linux i la seva reguera de distribucions horribles
segons aquí segures quan ni la vida ho és l'única cosa segura és la mort retard / linux
fracàs / linux disbarat / linux baix / linux
només coneixia febrer gràcies pel post :)
Linux és el millor. No facin cas als típics trolls