The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS

05.10.2018 09:06

Агентство национальной кибербезопасности Франции опубликовало исходные тексты проекта CLIP OS, в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты в основном под свободной лицензией LGPLv2.1+.

В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.

Исполняемые и системные файлы в дистрибутиве отделены от изменяемых данных (корневой раздел монтируется в режиме только для чтения, а изменяемые каталоги выборочно подключаются при помощи bind-монтирования). Также применяется многоуровневая система доступа, разграничивающая обработку информации с разными уровнями конфиденциальности. Разделение осуществляется путём поддержания разных окружений, выполняемых в изолированных контейнерах, используя подход, напоминающий Qubes OS и Subgraph OS.

Прямое взаимодействие между окружениями запрещено. Каждый контейнер имеет доступ только к разрешённому набору данных и ограничен доступном только к необходимым системным вызовам. Для дополнительной изоляции контейнеров применяются патчи от проекта Landlock. Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы. Графическое окружение построено на основе композитного сервера на базе Wayland. Для дополнительной изоляции отдельных приложений также предлагается использовать Flatpak.

Загружаемые компоненты ОС и модули ядра верифицируются по цифровой подписи с использованием загрузки в режиме UEFI Secure Boot. Дополнительно в дистрибутиве организована проверка целостности файлов и связанных с ними метаданных по базе предварительно вычисленных хэшей. Целостность корневого раздела проверяется при помощи подсистемы DM-Verity. Обновление производится в атомарном режиме путём замены корневого раздела (новая версия копируется в запасной раздел, который затем делается активным, старый вариант остаётся для следующего обновления и может применяться для отката изменений).

Администратор имеет ограниченные права и не может скомпрометировать уже установленную систему и не имеет доступа к данным пользователей. Доступ администратора ограничен возможностью изменения только определённого набора настроек и файлов конфигурации. На разделах с данными применяется шифрование и верификация целостности (LUKS2, DM-Crypt и DM-Integrity). Опционально возможно шифрование и системных разделов.

Пользователь не может запустить произвольный исполняемый файл - запуск исполняемого кода и скриптов ограничен только разрешёнными компонентами (используется патч O_MAYEXEC). По умолчанию для защиты процессов применяется механизм защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение (код может быть исполнен только после запрещения записи, а запись возможна только после запрета исполнения).

Предоставлены инструменты для верифицированной сборки установочных образов из исходных текстов. Готовые установочные сборки не формируются, вместо них по аналогии с Gentoo предлагается собирать пакеты из исходных текстов. Процесс сборки повторяем, т.е. можно убедиться, что используемые исполняемые файлы собраны именно из имеющихся исходных текстов.

Для установки приложений используются портеджи Gentoo, но также развивается прослойка для поддержки src-пакетов из репозиториев Debian. По умолчанию при сборке портеджей включаются все доступные опции для повышения безопасности на этапе сборки (сборка в виде PIE, режимы защиты от переполнения стека и проверки границ буферов). В дистрибутиве также задействованы патчи для усиления безопасности ядра Linux и активированы MAC-расширения SELinux.

Дополнительно можно отметить, что сегодня исполнилось ровно 19 лет с момента основания проекта Gentoo Linux.

  1. Главная ссылка к новости (https://www.gentoo.org/news/20...)
  2. OpenNews: Gentoo прекращает формирование hardened-варианта ядра Linux
  3. OpenNews: Grsecurity прекращает бесплатное распространение своих патчей
  4. OpenNews: Вышел Liberte Linux 2012.3, первый дистрибутив с поддержкой режима безопасной загрузки UEFI
  5. OpenNews: Релиз ОС Qubes 4.0, использующей виртуализацию для изоляции приложений
  6. OpenNews: AnikOS - попытка формирования концепций защищенного дистрибутива Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49395-gentoo
Ключевые слова: gentoo, clipos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:03, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    > Администратор имеет ограниченные права

    Я так не играю...

     
     
  • 2.20, Жюлиан Дюпонт (?), 12:14, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Дистрибутив он тов. майора Франции - норм тема, надо ставить! ;-)
     
     
  • 3.32, ФСБ (?), 13:16, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С закладками от тов. майора АНБ на базе хромоси.
     
  • 3.66, Pret78 (?), 20:16, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Выиграли ЧМ по футболу 2018 - теперь спасайте мир тоже сами :-)
     
  • 2.22, Аноним (-), 12:26, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –7 +/
    А я, наоборот, давно жду, когда из рабочей системы выкинут рута, как самую большую дыру.
     
     
  • 3.26, Pahanivo (ok), 12:39, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > А я, наоборот, давно жду, когда из рабочей системы выкинут рута, как самую большую дыру.

    Ты смотри поаккуратнее. А то тебя и в окно могут выкинуть ..

     
     
  • 4.28, Аноним (-), 12:50, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Виндузятники уже пытались, когда предложил им не работать под администраторской учеткой.
     
  • 3.76, root (??), 05:27, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы тебя выбросил. Задолбали ламеры.
    Приходит один такой ламер "ааааа, рууут, ты сидишь по рутом, рууууут".
    На вопрос обосновать следует овтет "бе, ме". Говорит можно всё удалить случайно, потом вводит на своём ноутбуке rm -rf --no-preserve-root / и удаляет всё науй, забыл товарищ что сам зашёл под судкой.
     
  • 2.34, Аноним (34), 14:07, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничто не ново под Луной code sysctl security bsd suser_enabled 0 sysctl -... большой текст свёрнут, показать
     

  • 1.2, Аноним (2), 10:05, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это круче, чем отечественная астра с её мандатным контролем, или так, побаловаться?
     
     
  • 2.51, DmA (??), 16:15, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Исходного кода Астры никто кроме разработчиков  не видел, а вот когда проблемы с безопасностью там вскрываются, то они выглядят нелепо. Писали похоже студенты на коленке, никто их не контролировал и не проверял.
     
     
  • 3.52, 3432 (?), 16:22, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можешь сам посмотреть. Покупиешь -> делаешь запрос на исходники -> смотри сколько хочешь
     
     
  • 4.70, Аноним (70), 21:44, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так вот как продают астру
     

  • 1.3, evkogan (?), 10:36, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У всех этих Qubes нет ответа на вопрос как быть с документами разной конфиденциальности, иметь в каждом контейнере повторяющийся набор приложений?
    А как с ними работать если нужно из контейнера с одной конфиденциальностью перенести кусок в другой, по идее по направлению усиления конфиденциальности можно. не руками же все перепечатывать, но как?.
    Ватковская на это уже наступала и тут нет ответа на вопрос.
     
     
  • 2.6, Fracta1L (ok), 10:45, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > иметь в каждом контейнере повторяющийся набор приложений?

    Да. Почему нет?

     
     
  • 3.17, evkogan (?), 11:59, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому как нет ответа на второй вопрос. Как взять данные из относительно открытого источника и засунуть в супер конфиденциальный. Это нужно и для формирования супер крутого отчета который берет часть открытых данных и для банального копипаста между документами.
     
     
  • 4.24, Fracta1L (ok), 12:34, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что, там разве нет какого-нибудь навороченного буфера обмена с аутентификацией и прочими блэкджеками? Это же базовая часть такой системы, если подумать.
     
     
  • 5.29, Аноним (-), 12:53, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Там есть, просто кто-то тут из тех, кто не знает, но мнение свое высказать нужно, даже если оно 4.2 на 146%.
     
     
  • 6.41, evkogan (?), 15:14, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы тестировали именно этот дистр?
    поделитесь как оно там
     
     
  • 7.48, Аноним (-), 16:05, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я про Qubes. Там есть инструменты для копирования файлов между вм, открытия файла в одноразовой вм, буфер обмена, загрузка обновлений через другую вм, запрос к gpg в другой вм и прочее.
     
  • 2.21, Аноним (-), 12:22, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В Qubes ОS утилиты есть для копирования файлов между VM, ты бы знал это, если бы почитал документацию.
     
     
  • 3.40, evkogan (?), 15:13, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Туда их добавили по моему в 3 реинкарнацию. О добавке этого сюда пока нигде не сказано.
     
     
  • 4.47, Аноним (-), 16:01, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже четвертая вышла в начале года.
     
  • 4.67, Ordu (ok), 20:51, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > О добавке этого сюда пока нигде не сказано.

    Естественно не сказано. Это новость, а не документация. Искать ответа на вопрос "как там организована передача данных между окружениями" надо не в новости, а в документации и на тематических ресурсах. Новость она не для того, чтобы сделать тебя специалистом в области, она для того, чтобы ты знал куда ещё нужно заглянуть, чтобы стать специалистом, или продолжить им быть.

     
  • 2.72, Sw00p aka Jerom (?), 23:45, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>как быть с документами разной конфиденциальности

    ага хранить их на своем компе? спецам из франции не знакомы дисклесс системы?

    пс: для документов с разной конфиденциальностью используют "системы документ-оборота"

     
  • 2.80, Жаба (?), 18:25, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто -- отказ, на уровне персистентности, от понятия и концепции "документа" вообще. Документ это представление, компиляция из источников с разным уровнем доступа.
     

  • 1.9, Аноним (9), 11:06, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы.

    Это если нет эксплуатации уязвимости в ядре ...

     
  • 1.11, Аноним (9), 11:08, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А бэкдор входит в комплект поставки? Или полагаются на Intel ME?
     
     
  • 2.13, лягушкоед (?), 11:33, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    конечно входит, и не один - в этой мегаусложненной херне ты даже и не заметишь, что все твои данные читаются два раза - первый когда ты их читаешь, и второй когда сохраняешь.

    для того всю эту мусорную пирамиду размером с хеопсовую и возводили.

     

  • 1.25, Аноним (-), 12:35, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    По описанию выглядит очень вкусно. Особенно если сможет конкурировать с Qubes. Последняя слишком изкоробочная, для хомячков, и пилится виндузятниками. Состав dom0 и темплейтов - помойка.
     
     
  • 2.73, Fy (?), 00:20, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раз у _элиты_ бомбит, захотелось попробовать этот кубес
     

  • 1.36, Zenitur (ok), 14:13, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Наконец-то ультра-революционная ОС оказалась не пшиком (перепакованная убунта с 2 новыми пакетами), а действительно ультра-революционной!
     
     
  • 2.53, Акакжев (?), 16:27, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/clipos/src_portage_clipos

    Тут как бы вообще пакетов не вижу.

    clipos-meta - три метапакета:

    clipos-core "Meta ebuild for everything that should be in the Core root."
    clipos-efiboot "Configuration for everything that should be in the initrd & EFI partition"
    clipos-sdk "Meta ebuild for the CLIP SDK."

    Где запрятали всё?

     
  • 2.68, Andrey Mitrofanov (?), 20:58, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Наконец-то ультра-революционная ОС оказалась не пшиком (перепакованная убунта с 2 новыми
    > пакетами), а действительно ультра-революционной!

    И дважды "ультра-революционной!" её делает то, что она не убунта, а [U]  гента  [/U] [I]!

     

  • 1.45, Анонимм (??), 15:52, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А когда такая же или подобная инициатива с секурным дистром дойдёт до того, что в каждом отдельном окружении нужен не только свой отдельный набор либ и программ, но и свои отдельные инстансы модулей и драйверов ядра (но не целое отдельное ядро в каком-нить KVM) - то все бодро выскажут своё одобрямс, не заметив, что одобрили микроядро...
     
     
  • 2.49, Аноним (-), 16:09, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В Qubes примерно так и есть.

    >не заметив, что одобрили микроядро...

    А когда его не одобряли?

     
     
  • 3.50, Анонимм (??), 16:12, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, это вопрос, статистики, конечно.
    В правом хвосте нормального распределения люди "за". Но остальная масса...
    Если даже в этой теме попиарить защищённость микроядерной модели ядра - можно увидеть сколько кого.
     
     
  • 4.75, Акакжев (?), 07:29, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Выборка покажет противников не микроядра, а пустого пиара.
     
  • 2.71, Аноним (71), 22:44, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    гибридное ядро в виртуалке не есть микроядро.
     

  • 1.61, я (?), 18:04, 05/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    предпочитаю наши российские защищенные дистры. сами подумайте какого качества зонды в них встроены и вообще заморачивается ли кто-то чтением инфы с них.
     
     
  • 2.63, Анонимная триада (?), 19:16, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы и приседать на бутыль сами предпочитаете.
     
  • 2.64, Шо (?), 19:28, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >качества

    Возможно

    >заморачивается ли кто-то

    Не от делать нечего то точно, но когда план, мало не покажется, в отличие от стран где на вертолетах из учреждений сбегают.

     
     
  • 3.65, Шо (?), 19:30, 05/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ай, кто-нибудь знаки пунктуации расставьте выше.
     

  • 1.74, Anon4ik (?), 02:06, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Свалили в одну кучу всё что связано с безопасностью.
    Оно хоть работать будет (в продакшене), не задаваясь вопросом об юзабилити и мэйнтейнинге? :-D

    p.s s/кучу/помойку/
    p.p.s и все нагромождения обрушит очередной MeltDown

     
  • 1.77, Ващенаглухо (ok), 12:29, 08/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наработки Gentoo Hardened.., без grsec ядра оно нафиг не нужно.
     
     
  • 2.79, backbone (ok), 15:24, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А может они платные подписчики. Или после судов grsec вообще теперь всё?
     

  • 1.78, backbone (ok), 12:37, 08/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened
    > Для установки приложений используются портеджи Gentoo

    Круто!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру