Wann ist das Puppy Linux-Sicherheitsmodell sinnvoll?

Ich habe gerade ein paar Stunden damit verbracht, mit Puppy Linux zu spielen, das einige sehr nette Funktionen hat, aber es gibt einige Dinge, die mich an der Sicherheit (zumindest die Standardeinstellungen) beunruhigen:

1. Es scheint, dass die beabsichtigte Verwendung darin besteht, alles als root auszuführen
2. Es gibt kein Passwort für root (standardmäßig - natürlich könnte ich eines hinzufügen)
3. Soweit ich das beurteilen kann, gibt es keine automatisierte (oder gar nicht automatisierte) Möglichkeit, Sicherheitsupdates für Pakete abzurufen. (Ich könnte etwas verpasst haben.)

Ich habe mir immer überlegt, wie wichtig es ist, ein komplexes Kennwort zu haben, als Administrator / Root-Benutzer nicht im Internet zu surfen und die Systemsoftware (und den Browser sowie die Plugins) mit Patches für die neuesten Schwachstellen auf dem neuesten Stand zu halten. Ungeachtet dessen, was für mich wie ein Rezept für eine Katastrophe aussieht (siehe oben), ist Puppy populär genug, um viele Nebeneffekte zu haben, sodass es Szenarien geben muss, in denen der offensichtliche Mangel an Sicherheit kein Problem darstellt. Was sind Sie?

Puppy ist eine Spielzeugdistribution für Bastler. Dies ist das einzige Szenario, in dem das (fehlende) Sicherheitsmodell von Puppy Sinn macht.

Agenturen, die sich mit Informationssicherheit befassen, veröffentlichen Schadensbegrenzungsstrategien auf der Grundlage der Statistiken der von ihnen festgestellten Einbrüche. Hier ist die Liste der australischen Regierung:

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

Sie schätzen, dass das Befolgen der Top-4-Strategien 85% der Intrusionen stoppen würde. Diese sind:

1. Patch-Anwendungen, z. B. PDF-Viewer, Flash Player, Microsoft Office und Java. Patch oder Schadensbegrenzung innerhalb von zwei Tagen für Schwachstellen mit hohem Risiko. Verwenden Sie die neueste Version der Anwendungen.

2. Beheben von Sicherheitslücken im Betriebssystem. Patch oder Schadensbegrenzung innerhalb von zwei Tagen für Schwachstellen mit hohem Risiko. Verwenden Sie die neueste Betriebssystemversion.

3. Minimieren Sie die Anzahl der Benutzer mit Domänen- oder lokalen Administratorrechten. Solche Benutzer sollten ein separates, nicht privilegiertes Konto für E-Mail- und Webbrowsing verwenden.

4. Whitelist für Anwendungen , um zu verhindern, dass schädliche Software und andere nicht genehmigte Programme ausgeführt werden, z. B. mithilfe von Microsoft-Richtlinien für Softwareeinschränkungen oder AppLocker.

Welpe versagt in all diesen Punkten. Seriöse Distributionen wie Fedora, OpenSUSE, Debian usw. sind weitaus sicherer. Alle diese Distributionen haben aktive Sicherheits-Mailinglisten, die zeitnahe Sicherheitspatches bereitstellen, Application Whitelisting über AppArmor und / oder SELinux anbieten und natürlich nicht alles als root ausführen (ehrlich, wtf?).

Wenn Sie Wert auf Ihre Sicherheit legen, verwenden Sie Puppy nicht für ernsthafte Zwecke.

Über 30 Jahre Programmierung in Dutzenden von Sprachen von der Assemblierung bis zur Oracle-Datenbankadministration. Nichts ist sicherer und zuverlässiger als Puppy Linux .

Wie alle Unix / Linux-Systeme ist die Sicherheit von Puppy Linux eine ganz andere Welt als die von Microsoft, mit der die meisten vertraut sind. Die in anderen Antworten zum Ausdruck gebrachte Abwertung ist aus Sicht von Microsoft zwar völlig nachvollziehbar, beruht jedoch auf einem Unverständnis darüber, dass es andere Ansätze zur Sicherheit gibt.

Im Allgemeinen übernehmen Microsoft Windows-Betriebssysteme den vollständigen Zugriff auf alles, sofern dies nicht ausdrücklich verweigert wird. Unix / Linux nimmt keinen Zugriff auf irgendetwas an, es sei denn, dies wird ausdrücklich gewährt. Dies ist ein wichtiger Schritt, um unbefugten Zugriff zu verhindern.

Dem * nix- rootBenutzer wird der uneingeschränkte Zugriff auf fast alles gewährt , obwohl er rootroutinemäßig daran gehindert wird, beispielsweise eine Datei ohne gesetztes Ausführungsberechtigungsflag auszuführen und eine Verbindung zu einem anderen Host über SSH herzustellen, ohne ein Kennwort oder eine vorher festgelegte Schlüsselfreigabe.

Im Gegensatz zu "nativem" Linux wurde Puppy Linux für eine Einzelbenutzerumgebung optimiert . Der Einzelbenutzer roothat die vollständige Kontrolle über diese Maschine und kann sie somit besser vor Eindringlingen schützen. Wenn Sie mehrere Benutzer aufnehmen müssen, probieren Sie eine der vielen anderen guten Linux-Distributionen aus.

Durch die Verwendung von unionfs / aufs- Stacking-Dateisystemen in Puppy Linux werden alle bis auf kürzlich geänderten Dateien in schreibgeschützten Ebenen gespeichert. Dies bietet eine "Rückgängig" -Funktion, die eine einfachere Wiederherstellung des gesamten Systems in einem bekanntermaßen guten Zustand ermöglicht. Als letzte Möglichkeit wird das verteilte Originalsystem auf der unteren schreibgeschützten Ebene gespeichert, auf der es neu gestartet werden kann, während nachfolgende Änderungen auf den oberen Ebenen beibehalten werden.

Obwohl selten diskutiert, ist das häufige Patchen von Software ein vielschneidiges Schwert. Neue Versionen müssen immer aktuelle Hardware unterstützen, was häufig zu Störungen bei der Interaktion mit älterer Software und Hardware führt. Wenn Sie also etwas auf dem neuesten Stand halten möchten , müssen Sie alles auf dem neuesten Stand halten.

Patches sind in Microsoft-Umgebungen möglicherweise die einzig praktikable Abwehr, aber jedes Linux verfügt über eine große Auswahl an Techniken, um die Sicherheit der Systeme zu gewährleisten, wenn Hardware verwendet wird, die nicht die neueste und beste ist.

Puppy Linux wird hauptsächlich von Programmierern, Systemadministratoren und Analysten für ihre täglichen Computeranforderungen verwendet.

• Internetzugang von Dutzenden von Websites gleichzeitig von mehreren Maschinen / Benutzern.
• Entwicklung von Software in fast jeder Sprache, die jemals erfunden wurde.
• Experimentieren mit endlosen Permutationen und Kombinationen von Softwarekonfigurationen.
• ... und sogar E-Mails und soziale Medien abrufen, während Sie hier Fragen beantworten.

Das standardmäßige, "ernsthafte" Linux-Paradigma kann ein falsches Sicherheitsgefühl vermitteln und manchmal auch ziemlich frustrierend sein, da der Zugriff verweigert wird (wessen Computer?). Daher müssen viele Anwendungen als "root" ausgeführt werden, auch wenn sie mit dem WWW verbunden sind. Übrigens habe ich einen "lebenden" Welpen verwendet, um eine Debian-basierte Installation, die ich absichtlich "zu sicher" gemacht hatte, auseinander zu reißen. Das gleiche habe ich auch mit KolibriOS ('Hummingbird OS') gemacht, das in ~ 100% ASM geschrieben ist und die angeblichen 'Verteidigungen' nicht erkennt. Beispielsweise ist auf einem externen Speichermedium, das mit ext4 formatiert ist, der Ordner 'lost & found' für die meisten Linuxen gesperrt, nicht jedoch für einen Puppy.

In jedem Fall wird (AFAIK) der anfälligste potenzielle Angriffs- / Kontaminationsvektor / die anfälligste Anwendung, der Webbrowser, normalerweise nicht als "root" ausgeführt. Aus Sicherheitsgründen gibt es den privaten Browsermodus, https und natürlich Firewalls und Webbrowser-Firewalls (ganz oben), nicht zu vergessen den mächtigen BleachBit-Cleaner.

In Bezug auf den Mangel an Updates wird MSW meiner Erfahrung nach ständig aktualisiert / gepatcht, ist aber anscheinend das am wenigsten sichere System von allen. Rolling-Release-Linuxen mit ihren ständigen Patches brechen innerhalb von ungefähr einer Woche ab. LTS Linuxen mit relativ wenigen Updates, "funktioniert einfach"; Das relative Fehlen von Updates in Puppy (abhängig von der Version) kann daher ein falsches Problem sein, das mich ernsthaft störte , bis ich mehr herausfand.

Ein wichtiges Sicherheitsmerkmal von Puppy ist, dass (in einer "sparsamen" Installation, die bevorzugt / empfohlen wird) jede Sitzung entweder in einer Standarddatei oder einer eindeutigen Datei gespeichert werden kann, sodass es möglich ist, "maßgeschneiderte" Sitzungen für bestimmte Benutzer auszuführen Abmelden / Anmelden erforderlich, um zur normalen Verwendung zurückzukehren. Für bestimmte Zwecke können auch eingeschränkte Benutzerkonten hinzugefügt werden. Da es sich bei einer sparsamen Installation im Grunde genommen um ein "Live" -System handelt, ist Puppy bei richtiger Verwendung möglicherweise sicherer als "normale" Linuxen.

Verweise:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Treten Sie niemals einem Forum bei, das eine Registrierung erfordert, und verwenden Sie immer eine "Geister" -E-Mail-Adresse.

Wie bereits erwähnt, verwendet Puppy ein anderes Sicherheitsmodell (oder ein anderes Paradigma, wenn Sie es vorziehen) und muss in der realen Welt erfahrungsgemäß beurteilt werden. Meine Erfahrungen lassen sich wie folgt zusammenfassen:

• Debian: gehackt, mit Apps, die nach Hause telefonieren.
• Slackware: gehackt.
• Bogen: blieb nie lange genug stabil, um gehackt zu werden.
• Windows XP: Ich deinstalliere den Ethernet-Treiber, nachdem er sich bei Microsoft registriert hat. Sagte Nuff.
• OpenBSD: gehackt. Ja, ich weiss.
• DragonFlyBSD: nie eingedrungen, wenn es überhaupt läuft.
• FreeBSD: So weit, so gut. Mit PF. Verwendet weniger als 8 Monate.
• Welpe: In 6 Jahren nie gehackt. Niemals . Es ist immer noch meine Hauptdistribution, wenn ich Einfachheit und Zuverlässigkeit brauche.

Um es noch einmal zu wiederholen: Puppy verwendet ein anderes Modell, von dem viele glauben, dass es von Natur aus sicher ist. Wenn man es mit traditionellem Unix vergleicht, vergleicht Windows oder ______ Äpfel mit Orangen.

Ich bin seit 2000 nur noch unter Linux und hatte nie einen externen Virus. Ich habe mich einmal infiziert, als ich eine alte Windows-Festplatte zum Verschieben einiger Dateien verwendet habe. Ich ließ Clamtkl laufen, um alles aufzuräumen.

Ich bin jetzt seit einigen Jahren auf Puppylinux. Ich habe immer noch keine Probleme mit Viren. Windows-Leute kratzen sich am Kopf wie "Wie ist das möglich?"

Für mich ist es wie ein Autofahrer, der einen Biker fragt: "Wie kann man nur mit zwei Rädern fahren?"

Puppy verwendet dbus nur zur Sitzungsverwaltung. Es wird also nichts so verbreitet wie bei Active-x.

Ich verwende den Sylpheed-E-Mail-Client, der nur aus reinem Text besteht.

Ich benutze eine ältere Opera mit den meisten Dingen deaktiviert. Ich schalte JS ein, nur um zu posten, wie ich es jetzt tue.

Seit ich von CD boote, ist es jedes Mal ein Neustart. Auf meinen Festplatten befinden sich keine Betriebssysteme.

Wenn ich hochfahre, kann ich ungefähr 15 Prozesse stoppen und zählen. Und ich kenne sie alle. Als Wurzel ist nichts vor meinen Augen verborgen.

Ich habe mehrere Jahre lang technischen Support für kommerzielle Websites geleistet, daher bin ich kein typischer Computerbenutzer.

Windows versucht, die Startoptionen einzuschränken, die Festplatten zu verschlüsseln, Programme zu verschlüsseln oder zu hashen. Nach einer Infektion werden immer Sicherheitspatches angewendet. Dennoch verwenden sie weiterhin Active-x und gleichwertige Mechanismen, um ihre Keime zu verbreiten.

Die Leute wollen auf einen Weblink klicken, der eine Tabelle und all diese Dinge öffnet. Und die Leute bestehen darauf, Passwörter in ihren Browsern zu speichern, weil es bequemer ist.

Viele Windows-Benutzer haben unglaublich komplizierte Anmeldungen und können nicht verstehen, warum sie immer noch Viren bekommen. Es ist, weil der Rest der Maschine eine weit offene Tür ist.

Es ist wie bei Drogenkonsumenten, die "saubere" Nadeln haben, die sie mit ihren Freunden teilen.

Ich hoffe, dies kann einige Missverständnisse über die Sicherheit und den "Welpenweg" aufklären.

Ich dachte an eine Situation, in der so etwas wie Puppy Linux ziemlich sicher wäre (oder ich denke - ich begrüße Kommentare), wenn Sie es von einer Live-CD auf einem System ohne einbaufähige Speichergeräte ausführen (was bedeutet, dass es keine Festplatte gibt) Selbst wenn Sie eine Website besuchen, die eine Lücke im nicht gepatchten Browser ausnutzt, ist Ihr System beim nächsten Neustart sauber Wenn Sie eine solche Website besucht und neu gestartet haben, kann es vorkommen, dass ein Keylogger Ihre eingegebenen Passwörter abfängt. Sie müssen also vorsichtig sein und möglicherweise nur mit Lesezeichen versehene Websites besuchen, sofern Sie nicht vorhaben, sich irgendwo anzumelden. Sie könnten Dateien auf einem USB-Stick speichern,

* Ich habe über Viren gelesen (obwohl sie zum Glück selten sein sollen), die Ihr BIOS oder eine andere Firmware infizieren können, und in diesem Fall würde ein Neustart nicht helfen.

sml fragte: "Können Sie auch einen Link zu den Polizeikräften bereitstellen, die Puppy empfehlen?"

Vielleicht hilft das: Detective Inspector Bruce van der Graaf von der Ermittlungsabteilung für Computerkriminalität der New South Wales Police empfahl Puppy Linux bei einer öffentlichen Anhörung zum Thema Cyber-Kriminalität, im Namen der Regierung von New South Wales Beweise vorzulegen der wichtigsten Methoden zur sicheren Abwicklung von Geschäftstransaktionen im Internet wie Online-Banking.

Weitere Informationen finden Sie unter: http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

Übrigens, keiner der an der Entwicklung von Puppy Linux Beteiligten betrachtet es als "Spielzeugdistribution".

Ich habe noch nie davon gehört, dass Puppy Linux in 6 Jahren als sparsame Installation kompromittiert wurde. Ich glaube, dies liegt daran, dass Puppy mit den meisten deaktivierten Diensten ausgeführt wird (versuchen Sie es mit einer Web-Sicherheitswebsite wie Shields Up. Ich habe im Rahmen meiner Arbeit als Linux-Pädagoge umfangreiche Sicherheitstests durchgeführt und festgestellt, dass Puppy sogar sicherer als Ubuntu ist Aus den oben genannten Gründen im Root-Verzeichnis. Wenn Sie Puppy als Remaster ausführen und eine Live-CD mit einem Browser hinzufügen, ist dies sehr sicher (ohne eingebaute Festplatte im Web). Dies ist die von der Polizei empfohlene Methode Kräfte auf der ganzen Welt für ein absolut sicheres System.