Gehärtete Distribution: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 2: | Zeile 2: | ||
*Zur Wahrung der Sicherheit und Privatsphäre implementiert Subgraph OS verschiedene Techniken und Maßnahmen: | *Zur Wahrung der Sicherheit und Privatsphäre implementiert Subgraph OS verschiedene Techniken und Maßnahmen: | ||
**Anonymität: Jeglicher Internet-Verkehr wird standardmäßig über das Tor-Netzwerk geroutet. Unklar ist, ob sich dies für einzelne Programme individuell beeinflussen lässt. Denn es ist nicht immer von Vorteil, jegliche Kommunikation über das Tor-Netzwerk zu leiten. In jedem Fall wird es einen zusätzlichen Browser geben, der nicht über Tor mit der Außenwelt kommuniziert. | **Anonymität: Jeglicher Internet-Verkehr wird standardmäßig über das Tor-Netzwerk geroutet. Unklar ist, ob sich dies für einzelne Programme individuell beeinflussen lässt. Denn es ist nicht immer von Vorteil, jegliche Kommunikation über das Tor-Netzwerk zu leiten. In jedem Fall wird es einen zusätzlichen Browser geben, der nicht über Tor mit der Außenwelt kommuniziert. | ||
| − | Verschlüsseltes Dateisystem: Während der Installation wird die Festplatte mit dm-crypt/LUKS vollständig verschlüsselt. Zusätzlich soll der Arbeitsspeicher beim Herunterfahren des Systems »geelert« werden, um Kaltstartattacken (Coold boot attack) zu vermeiden. | + | **Verschlüsseltes Dateisystem: Während der Installation wird die Festplatte mit dm-crypt/LUKS vollständig verschlüsselt. Zusätzlich soll der Arbeitsspeicher beim Herunterfahren des Systems »geelert« werden, um Kaltstartattacken (Coold boot attack) zu vermeiden. |
**Gehärteter Kernel: Mit den grsecurity/PaX Kernel-Patches soll es einem Angreifer erschwert werden, Schwachstellen in Programmen oder dem Kernel ausnutzen. | **Gehärteter Kernel: Mit den grsecurity/PaX Kernel-Patches soll es einem Angreifer erschwert werden, Schwachstellen in Programmen oder dem Kernel ausnutzen. | ||
**Application Firewall: Über eine Firewall-GUI soll der Nutzer benachrichtigt werden, falls ein unbekanntes Programm Zugriff auf das Internet anfordert. Der Anwender kann den Zugriff dann wahlweise verbieten oder erlauben. Dieses Feature dient nach meiner Auffassung in erster Linie der Erkennung von Programmen oder Schädlingen, die gerne »nach Hause telefonieren« möchten. | **Application Firewall: Über eine Firewall-GUI soll der Nutzer benachrichtigt werden, falls ein unbekanntes Programm Zugriff auf das Internet anfordert. Der Anwender kann den Zugriff dann wahlweise verbieten oder erlauben. Dieses Feature dient nach meiner Auffassung in erster Linie der Erkennung von Programmen oder Schädlingen, die gerne »nach Hause telefonieren« möchten. | ||
Version vom 14. September 2022, 08:26 Uhr
Subgraph OS
- Zur Wahrung der Sicherheit und Privatsphäre implementiert Subgraph OS verschiedene Techniken und Maßnahmen:
- Anonymität: Jeglicher Internet-Verkehr wird standardmäßig über das Tor-Netzwerk geroutet. Unklar ist, ob sich dies für einzelne Programme individuell beeinflussen lässt. Denn es ist nicht immer von Vorteil, jegliche Kommunikation über das Tor-Netzwerk zu leiten. In jedem Fall wird es einen zusätzlichen Browser geben, der nicht über Tor mit der Außenwelt kommuniziert.
- Verschlüsseltes Dateisystem: Während der Installation wird die Festplatte mit dm-crypt/LUKS vollständig verschlüsselt. Zusätzlich soll der Arbeitsspeicher beim Herunterfahren des Systems »geelert« werden, um Kaltstartattacken (Coold boot attack) zu vermeiden.
- Gehärteter Kernel: Mit den grsecurity/PaX Kernel-Patches soll es einem Angreifer erschwert werden, Schwachstellen in Programmen oder dem Kernel ausnutzen.
- Application Firewall: Über eine Firewall-GUI soll der Nutzer benachrichtigt werden, falls ein unbekanntes Programm Zugriff auf das Internet anfordert. Der Anwender kann den Zugriff dann wahlweise verbieten oder erlauben. Dieses Feature dient nach meiner Auffassung in erster Linie der Erkennung von Programmen oder Schädlingen, die gerne »nach Hause telefonieren« möchten.
- Container / Sandboxing: Das Sandboxing-Prinzip von Oz basiert auf Namespaces und Xpra. Ähnlich zu SELinux oder AppArmor verfolgt das Sandboxing ein Ziel: Falls ein Angreifer ein Programm über eine Schwachstelle kompromittiert, soll Oz die restlichen Daten des Nutzers im Idealfall vor den negativen Auswirkungen bewahren.
Anwendungen: Fester Bestandteil von Subgraph OS ist unter anderem das Tor-Browser-Bundle und ein eigener Mail-Client (Subgraph Mail) mit PGP/Mime Unterstützung.