Subgraph:这款注意平安的刊行版是歹意软件最大的噩梦 - 51CTO.COM
|
|
|
|
挪动端

Subgraph:这款注意平安的刊行版是歹意软件最大的噩梦

本文作者表现,Subgraph是一款大有出路的注意平安的刊行版。由于通博8888官网桌面的人气越来越高,可以确定桌面歹意软件和讹诈软件打击也会越来越多。这意味着多年来无视这种要挟的通博8888官网用户应开端思索他们选择的平台能够遭到打击。

作者:布加迪编译泉源:51CTO|2018-02-01 12:33

技能沙龙 | 邀您于8月25日与国美/AWS/转转三位专家配合讨论小顺序电商实战

Subgraph:这款注意平安的刊行版是歹意软件最大的噩梦

【51CTO.com快译】本文作者表现,Subgraph是一款大有出路的注意平安的刊行版。

依照设计,通博8888官网是一款很平安的操纵零碎。实践上,我在运用20年的进程中只遇到过一次通博8888官网呆板被攻破的状况,那次效劳器遭到了rootkit的打击。在桌面端,我还没有遇到过任何方式的打击。

这倒不是说通博8888官网平台上的破绽和打击就不存在,它们的确存在。只需想想Heartbleed和Wannacry,就明确通博8888官网并非牢不行破。

由于通博8888官网桌面的人气越来越高,可以确定桌面歹意软件和讹诈软件打击也会越来越多。这意味着多年来无视这种要挟的通博8888官网用户应开端思索他们选择的平台能够遭到打击。

你平常做什么?

假如你是通博8888官网桌面用户,能够会思索接纳像Subgraph如许的刊行版。Subgraph是一个桌面盘算和通讯平台,旨在强无力地抵挡网络打击和歹意软件/讹诈软件打击。但是不像能够试图完成这类目的的其他平台,Subgraph在使这统统成为能够的同时,还保存了很高的易用性。由于GNOME桌面,Subgraph十分易于运用。

Subgraph有何差别之处?

这统统都始于操纵零碎的中心。Subgraph随带的内核是用grsecurity/PaX和RAP(旨在避免代码重用打击内核以加重以后开辟技能)构建的,前者是一个面向整个零碎的补丁,以缓解破绽和权限提拔,后者旨在避免对内核实行代码重用打击,防备今世的打击技能。想理解Subgraph内核的更多信息,请检查GitHub上的Subgraph内核设置装备摆设(https://github.com/subgraph/subgraph-kernel-configs)。

Subgraph还在共同的情况(名为Oz)中运转表露的、易受打击的使用顺序。Oz旨在将使用顺序相互断绝开来,只将资源付与需求资源的使用顺序。构成Oz的技能包罗如下:

  • 通博8888官网定名空间
  • 受限定的文件零碎情况
  • 桌面断绝
  • Seccomp和Berkeley数据包过滤器(bpf)

其他平安功用包罗如下:

  • 大少数自界说的Subgraph代码是用内存平安的言语Golang编写的。
  • 涵盖很多零碎适用东西和使用顺序的AppArmor设置装备摆设文件。
  • 平安事情监督东西。
  • 桌面告诉(行将公布)。
  • Roflcoptor tor控制端口过滤器效劳。

装置子图

有须要记着,Subgraph是alpha测试版,以是不该该把这个平台看成一样平常主力平台。由于它照旧测试版,装置方面有几个题目要值得留意。我遇到的第一个奇异的中央是,Subgraph无法作为VirtualBox假造机来装置。无论怎样,都行欠亨。这是已知的bug,希望开辟职员会修复这个缺陷。

第二个题目是,经过USB设置装备摆设装置Subgraph十分顺手。你不克不及运用Unetbootin或Multiboot USB之类的东西创立可启动的闪驱。你可以运用GNOME Disks来创立USB驱动器,但最好的方法是运用dd下令。下载ISO映像文件(https://subgraph.com/sgos/download/index.en.html),将USB驱动器拔出到电脑,翻开终端窗口,找到刚拔出的谁人USB设置装备摆设的称号(下令lsblk实用于此)。最初,用这个下令将ISO映像文件写入到USB设置装备摆设:

dd bs=4M if=subgraph-os-alpha_XXX.iso of=/dev/SDX status=progress && sync

此中XXX是Subgraph版本号,SDX是USB设置装备摆设的称号。

一旦上述下令完成,你可以重启呆板,装置Subgraph。装置进程相称复杂,一般中央费事点。起首是装置顺序在装置之前会完全擦除整个驱动器。这是一个平安步伐,防止不了。这个进程需求一段工夫(图1),以是让它自行完成,你可以改而费心别的的义务。

图1:Subgraph装置进程包罗擦除驱动器

接上去,你要为驱动器的加密创立一个暗码(图2)。

图2:创立磁盘加密暗码

你在启动设置装备摆设时要用到这个暗码。假如丧失或遗忘暗码,就无法启动进入到Subgraph。该暗码也是凑合盗取你数据后希图拜访数据的那些人的第一道防地,以是要明智地选择。

Subgraph和别的大少数刊行版之间的最初一个区别是,你没无机会创立用户名。你的确可以创立用户暗码,该用户暗码用于默许用户:定名用户。你一直可以经过下令行或GNOME Settings东西来创立新用户(一旦操纵零碎装置终了)。

装置完成后,你的Subgraph零碎会重启,提示输出磁盘加密暗码。乐成验证后,Subgraph将启动,并进入到GNOME登录屏幕。运用你在装置进程中创立的用户名和暗码来登录。

详细用法

运用Subgraph时有两个紧张的方面要记着。起首,正如后面提到,这款刊行版处于测试开辟中,以是还不美满。其次,一切使用顺序都在沙箱中运转,网络经过Tor来处置,以是会遇到使用顺序启动和网络衔接速率不如往常的状况。

我诧异地发明,Tor阅读器(默许也是独一装置的阅读器)并不间接就被装置。相反,GNOME Dash上有一个启动器,初次启动时它会下载最新版本。这很棒,但我发明下载和装置失败了两次。假如我运用惯例的网络衔接,状况不会这么令人头疼。但是,由于Subgraph经过Tor来任务,我的网络衔接速率慢得要命,以是Tor阅读器(26.8 MB顺序包)的下载、验证和装置耗时约20分钟。固然,那不是Subgraph的差错,而是我衔接的Tor网络的差错。在Tor阅读器装置和运转之前,Subgraph让我实践上能做的事变很无限。终极,Tor阅读器下载好后,统统按预期运转。

使用顺序沙箱

不是每个使用顺序都要阅历初次启动时下载新版本的进程。实践上,Tor阅读器是我遇到独一这么做的使用顺序。当你翻开一个新的使用顺序,它会先启动本人的沙箱,然后翻开相应的使用顺序。一旦使用顺序启动并运转起来,你会在顶部面板中看到一个下拉列表,列出了以后的每个使用顺序沙箱(图3)。

图3:LibreOffice使用顺序沙箱启动并运转,而Tor阅读器持续下载

你可以经过每个使用顺序子菜单,将文件添加到特定的沙箱,或许封闭沙箱。封闭沙箱实践上封闭了该使用顺序。这不是你应该封闭使用顺序自身的方法,而是像往常那样来封闭使用顺序,然后假如你用好使用顺序,随后可以手动封闭沙箱(经过下拉菜单)。比方说假如你翻开了LibreOffice,经过封闭沙箱来封闭它,就面对丧失信息的危害。

由于每个使用顺序都在本人的沙箱中启动,使用顺序翻开不如其他方法来得快。这是你为运用Subgraph和沙箱作出的捐躯。有些人盼望取得最高的桌面平安性,作如许的捐躯是值得的。

大有远景的刊行版

一些人盼望在台式机上取得最大的平安性,Subgraph对他们来说是大有远景的刊行版。固然Subgraph的确存在测试版的诸多缺乏,但看起来它能够会在桌面范畴惹起惊动,尤其是思索到歹意软件和讹诈软件曾经十分猖狂。更棒的是,Subgraph很能够会成为一款任何人(不论才能上下)都可以运用的注意平安的桌面刊行版。一旦Subgraph成为正式版,我预测这款共同的通博8888官网刊行版会大放异彩。

原文标题:Subgraph: This Security-Focused Distro Is Malware’s Worst Nightmare,作者:Jack Wallen

【51CTO译稿,协作站点转载请注明原文译者和来由为51CTO.com】

【编辑引荐】

  1. 怎样在通博8888官网上规复一个破坏的USB设置装备摆设至初始形态
  2. 迁徙到通博8888官网:图形操纵情况
  3. 怎样通晓通博8888官网上的文件搜刮
  4. 五把通博8888官网分区办理利器,你最喜好哪个?
  5. 怎样在通博8888官网上用Fail2Ban维护效劳器免受暴力打击
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
各人都在看
猜你喜好

读 书 +更多

英勇者的新天下

这是一个最坏的年月,J2EE Web开辟技能曾经迟滞多年;这是一个最好的年月,J2EE Web开辟技能的新革新留给勇于创新的人! 接纳Apusic Opera...

订阅51CTO邮刊

点击这里检查样刊

订阅51CTO邮刊