Увидел свет LiveUSB-дистрибутив Liberté Linux 2012.3, построенный на основе Gentoo Linux (Hardened), отличающийся повышенной защищенностью и предназначенный для скрытной работы и анонимного использования в не вызывающем доверие сетевом окружении. Дистрибутив в одно нажатие устанавливается на USB-накопитель и в дальнейшем может использоваться для загрузки на любом компьютере. Для защиты от перехвата трафика вся сетевая активность осуществляется через анонимную сеть Tor. Размер загрузочного образа 213 Мб.

Liberte Linux 2012.3 является первым дистрибутивом Linux в котором обеспечена поддержка режима безопасной загрузки UEFI, что позволяет добиться полной верификации всех компонентов дистрибутива, но только взаимодействующих с оборудованием и обеспечивающих загрузку ОС. Например, помимо формирования подписи для загрузчика GRUB, файлов конфигурации GRUB, ядра Linux и всех загружаемых ядром драйверов и модулей, предусмотрена возможность проверки и сжатого образа корневой ФС (rootfs).

Таким образом гарантируется неизменность всех составных частей live-дистрибутива, защищая пользователя от подмены данных и включения закладок при установке на USB-накопитель или жесткий диск. Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию. Примечательно, что при отсутствии поддержки безопасной загрузки UEFI оборудованием, стадия проверки целостности корневой ФС выполняется дистрибутивом и при загрузке с использованием обычного BIOS.

Особенности организации работы дистрибутива:

• Десктоп-окружение основано на LXDE и GTK+ с легковесным набором приложений, работающих без использования GNOME/KDE.
• Все изменения конфигурации, сделанные в процессе работы в дистрибутиве, сохраняются в специальном OTFE-разделе. В процессе загрузки, кроме ввода пароля для виртуального OTFE-диска, от пользователя не требуется никаких действий;
• Все приложения сконфигурированы и готовы к использованию. Дистрибутив достаточно легко переконфигурируется для собственных нужд, поэтому при желании можно оформить вариант Liberté Linux с собственным набором программ;
• Все приложения собраны с использованием инструментария сборки проекта Gentoo Hardened, который включает такие патчи, как SSP (Stack Smashing Protection, защита от переполнения стека и буфера) и ASLR (рандомизация распределения памяти). Ядро собрано с улучшениями от проекта PaX;
• Пакетный фильтр по умолчанию настроен на блокирование всех входящих и исходящих пакетов, за исключением трафика DHCP, DNS, NTP и Tor;
• Максимально урезаны передаваемые по DHCP параметры, блокируется передача имени хоста, ARP и IPv4LL. Для обеспечения приватности в Wifi-сетях MAC-адрес для беспроводного интерфейса генерируется случайным образом. Так как для регистрации в некоторых Wifi-сетях необходим прямой вход браузером, в Liberté предусмотрена возможность отдельного запуска браузера от обособленного пользователя, который имеет доступ только к DNS и портам типовых сервисов web-регистрации;
• Root-консоль доступна только в течение двух минут после загрузки. После ввода стандартного пароля в процессе загрузки, аккаунт суперпользователя блокируется (т.е. войти в систему можно только один раз, для повторного входа нужна перезагрузка);
• Почти все системные процессы сбрасывают root-привилегии сразу после инициализации, включая, процессы Tor, Privoxy, NTP, HTP, D-Bus, и nscd.
• Сохраняемые между сессиями пользовательские данные держатся на USB-диске на специальном зашифрованном виртуальном разделе, размер которого расширяется динамически;
• Внезапное вытаскивание USB-накопителя из компьютера немедленно приводит к инициированию выключения питания. В процессе выполнения завершения работы в штатном режиме вся память очищается с целью защиты от атак методом холодной перезагрузки.

Изменения в новой версии:

• Используемые для загрузки EFI исполняемые файлы (загрузчик GRUB, ядро Linux и т.п.) подписаны для обеспечения поддержки режима безопасной загрузки (Secure Boot);
• Обновление ядра Linux до версии 3.4.7. Для организации записи поверх доступной только на чтение основы вместо Unionfs задействована ФС Overlayfs;
• Обновление графического стека (X.org server 1.12 и Mesa 8.0). Для карт Radeon задействован одноимённый Gallium3D-драйвер, а для карт NVIDIA драйвер nouveau;
• Упрощена обработка параметров загрузки. Добавлены новые параметры "blacklist" для отключения автозагрузки модулей ядра; "bridges" для указания точек подключения к сети Tor; "gentoo=noanon" для отмены анонимного режима (перенаправление всего трафика через Tor)'
• В состав включена утилита reaver-wps для проверки безопасности WiFi сетей;
• В GnuPG добавлена поддержка PKCS#11;
• Проведена унификция визуальных тем для GTK-2 и GTK-3.