Kapan model keamanan linux Puppy masuk akal?

Saya baru saja menghabiskan beberapa jam bermain dengan Puppy linux, yang memiliki beberapa fitur yang sangat bagus, tetapi ada beberapa hal tentang pendekatannya terhadap keamanan (setidaknya pengaturan default) yang membuat saya khawatir:

1. Tampaknya cara yang dimaksudkan untuk menggunakannya adalah menjalankan semuanya sebagai root
2. Tidak ada kata sandi untuk root (secara default - tentu saja saya bisa menambahkan satu)
3. Tidak ada cara otomatis (atau bahkan non-otomatis sederhana) untuk mendapatkan pembaruan keamanan untuk paket, sejauh yang saya tahu. (Saya mungkin melewatkan sesuatu.)

Saya selalu menekankan pentingnya memiliki kata sandi yang rumit, tidak menjelajah internet sebagai admin / root, dan menjaga perangkat lunak sistem (dan browser, dan plugin) tetap terbarui dengan patch untuk kerentanan terbaru. Namun, terlepas dari apa yang tampak bagi saya seperti resep untuk bencana (diuraikan di atas), Puppy cukup populer untuk memiliki banyak spin-off, jadi harus ada skenario di mana kurangnya keamanan adalah masalah. Apakah mereka?

Puppy adalah distro mainan, untuk penggemar. Itulah satu-satunya skenario di mana model keamanan Puppy (kekurangan) masuk akal.

Lembaga yang mempelajari keamanan informasi menerbitkan strategi mitigasi berdasarkan statistik gangguan yang mereka lihat. Ini daftar pemerintah Australia:

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

Mereka memperkirakan bahwa mengikuti 4 strategi teratas akan menghentikan 85% intrusi. Ini adalah:

1. Menambal aplikasi misalnya penampil PDF, Flash Player, Microsoft Office dan Java. Menambal atau mengurangi dalam dua hari untuk kerentanan risiko tinggi. Gunakan aplikasi versi terbaru.

2. Menambal kerentanan sistem operasi. Menambal atau mengurangi dalam dua hari untuk kerentanan risiko tinggi. Gunakan versi sistem operasi terbaru.

3. Minimalkan jumlah pengguna dengan domain atau hak administratif lokal. Pengguna tersebut harus menggunakan akun terpisah yang tidak terjangkau untuk email dan penelusuran web.

4. Daftar putih aplikasi untuk membantu mencegah perangkat lunak berbahaya dan program yang tidak disetujui lainnya berjalan mis. Dengan menggunakan Kebijakan Pembatasan Perangkat Lunak Microsoft atau AppLocker.

Anak anjing gagal dalam semua perhitungan ini. Distro serius seperti Fedora, OpenSUSE, Debian dll jauh lebih aman. Semua distro ini memiliki milis keamanan aktif yang menyediakan patch keamanan yang tepat waktu, menawarkan daftar putih Aplikasi melalui AppArmor dan / atau SELinux dan tentu saja, tidak menjalankan semuanya sebagai root (jujur, apakah?).

Jika Anda menghargai keamanan Anda, jangan gunakan Puppy untuk hal serius.

Lebih dari 30 tahun pemrograman dalam lusinan bahasa mulai dari perakitan hingga administrasi basis data Oracle , dan saya tidak menemukan yang lebih aman dan dapat diandalkan selain Puppy Linux .

Seperti semua sistem Unix / Linux, keamanan Puppy Linux adalah dunia yang sangat berbeda dari Microsoft yang paling dikenal. Kerusakan yang diekspresikan dalam jawaban lain benar-benar dapat dipahami meskipun dari perspektif Microsoft, tetapi berasal dari kurangnya pemahaman bahwa ada pendekatan lain untuk keamanan.

Secara umum, Microsoft Windows O / Ss mengasumsikan akses penuh ke semuanya kecuali ditolak secara eksplisit. Unix / Linux menganggap tidak ada akses ke apa pun kecuali diberikan secara eksplisit. Ini sangat membantu dalam mencegah akses yang tidak sah.

Pengguna * nix rootdiberikan akses penuh ke hampir semua hal, meskipun bahkan rootsecara rutin dicegah melakukan hal-hal seperti mengeksekusi file yang tidak memiliki flag izin eksekusi dan menghubungkan ke host lain melalui SSH tanpa kata sandi atau pembagian kunci yang telah diatur sebelumnya.

Tidak seperti Linux "asli", Puppy Linux telah dioptimalkan untuk lingkungan pengguna tunggal . Pengguna tunggal root,, memiliki kontrol penuh atas mesin itu dan dengan demikian memiliki kemampuan untuk mengamankannya dari penyusup. Jika Anda perlu mengakomodasi banyak pengguna, cobalah salah satu dari banyak distribusi Linux lainnya.

Penggunaan sistem file stacking unionfs / aufs oleh Puppy Linux membuat semua file yang baru diubah pada layer read-only. Ini memberikan kemampuan "undo" yang memungkinkan pemulihan lebih mudah dari seluruh sistem ke kondisi yang diketahui baik. Sebagai upaya terakhir, sistem asli yang didistribusikan disimpan di lapisan read-only di mana ia dapat di-boot ulang sambil mempertahankan perubahan berikutnya pada lapisan atas.

Meskipun jarang dibahas, sering menambal perangkat lunak adalah pedang bermata banyak. Versi baru harus selalu mengakomodasi perangkat keras saat ini yang sering menimbulkan gangguan dalam pengoperasian dengan perangkat lunak dan perangkat keras yang lebih lama. Itu sebabnya, jika Anda ingin menyimpan sesuatu yang up-to-date, Anda harus menjaga segala sesuatu up-to-date.

Patching mungkin satu-satunya pertahanan yang layak di lingkungan Microsoft, tetapi setiap Linux dilengkapi dengan kotak peralatan besar teknik untuk menjaga sistem tetap aman saat berjalan pada perangkat keras yang bukan yang terbaru dan terhebat.

Puppy Linux sebagian besar digunakan oleh programmer, administrator sistem dan analis untuk kebutuhan komputasi harian mereka melakukan hal-hal seperti ...

• Akses internet dari puluhan situs web secara bersamaan dari beberapa mesin / pengguna.
• Mengembangkan perangkat lunak dalam hampir semua bahasa yang pernah ditemukan.
• Bereksperimen dengan permutasi tak berujung dan kombinasi konfigurasi perangkat lunak.
• ... dan bahkan memeriksa email dan media sosial saat menjawab pertanyaan di sini.

Paradigma Linux 'serius' standar dapat memberikan rasa aman yang salah, serta terkadang membuat frustasi, dengan penolakan akses (komputer siapa?). Karena itu menjadi penting untuk menjalankan banyak aplikasi sebagai 'root', bahkan ketika terhubung ke www. Kebetulan, saya telah menggunakan Puppy 'hidup' untuk merobek instalasi berbasis Debian yang sengaja saya buat 'over-secure'. Saya juga melakukan hal yang sama dengan KolibriOS ('Hummingbird OS'), yang ditulis dalam ~ 100% ASM, & tidak mengenali dugaan 'pertahanan'. Sebagai contoh, pada media penyimpanan eksternal, diformat ke ext4, folder 'hilang & ditemukan' dikunci untuk sebagian besar Linuxen, tetapi tidak ke Puppy.

Dalam kasus apa pun (AFAIK) potensi serangan / kontaminasi vektor / aplikasi yang paling rentan, peramban web, biasanya tidak berjalan sebagai 'root'. Untuk keamanan, ada mode penjelajahan pribadi, https, dan tentu saja, firewall, dan firewall browser-web (di atas), tidak melupakan pembersih BleachBit yang perkasa.

Mengenai kurangnya pembaruan, dalam pengalaman saya, MSW terus diperbarui / ditambal, namun tampaknya merupakan sistem yang paling tidak aman dari semua; Linux-release-release, dengan tambalan konstannya, pecah dalam waktu sekitar satu minggu atau lebih; LTS Linuxen dengan pembaruan yang relatif sedikit, 'hanya berfungsi'; jadi relatif tidak adanya pembaruan di Puppy (tergantung pada versinya) mungkin merupakan bidang yang salah, yang benar-benar mengganggu saya sampai saya tahu sedikit lebih banyak.

Fitur keamanan penting dari Puppy adalah bahwa (dalam instalasi 'hemat', yang disukai / direkomendasikan) setiap sesi dapat disimpan atau tidak, ke file standar atau unik, sehingga dimungkinkan untuk menjalankan sesi 'dipesan lebih dahulu' untuk spesifik tujuan, membutuhkan logout / masuk untuk kembali ke penggunaan 'normal'. Akun pengguna yang dibatasi juga dapat ditambahkan, untuk tujuan tertentu. Mengingat bahwa pemasangan yang hemat secara efektif merupakan sistem 'hidup', Puppy mungkin sebenarnya lebih aman daripada Linuxen 'normal', jika digunakan dengan benar.

Referensi:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

Akhirnya, jangan pernah bergabung dengan forum yang menuntut pendaftaran, selalu gunakan alamat email 'hantu'.

Seperti yang telah dinyatakan, Puppy menggunakan model keamanan yang berbeda (atau paradigma yang berbeda, jika Anda mau) dan harus dinilai berdasarkan pengalaman, di dunia nyata. Pengalaman saya dapat disimpulkan sebagai berikut:

• Debian: diretas, dengan aplikasi menelepon ke rumah.
• Slackware: diretas.
• Arch: tidak pernah bertahan cukup lama untuk diretas.
• Windows XP: Saya menghapus instalan driver ethernet setelah mendaftar dengan Microsoft. "Kata Nuff.
• OpenBSD: diretas. Yah, saya tahu.
• DragonFlyBSD: tidak pernah ditembus, jika berjalan sama sekali.
• FreeBSD: Sejauh ini, sangat bagus. Menggunakan PF. Digunakan kurang dari 8 bulan.
• Anak anjing: dalam 6 tahun, tidak pernah diretas. Tidak pernah . Ini masih distro utama saya ketika saya membutuhkan kesederhanaan dan keandalan.

Untuk mengulangi: Puppy menggunakan model yang berbeda, yang diyakini banyak orang adalah yang aman secara inheren. Membandingkannya dengan Unix tradisional, Windows atau ______ membandingkan apel dengan jeruk.

Saya sudah menggunakan linux sejak tahun 2000 dan tidak pernah memiliki virus luar. Saya menginfeksi diri saya sekali ketika menggunakan hard drive windows lama untuk memindahkan beberapa file. Saya menjalankan Clamtkl untuk membersihkan semuanya.

Saya sudah menggunakan Puppylinux selama beberapa tahun sekarang. Saya masih tidak memiliki masalah dengan virus apa pun. Orang Windows menggaruk-garuk kepala mereka seperti "Bagaimana itu mungkin?"

Bagi saya itu seperti seorang pengemudi mobil yang bertanya kepada seorang pengendara motor, "Bagaimana Anda bisa mengemudi hanya dengan dua roda?"

Anak anjing menggunakan dbus hanya untuk manajemen sesi. Jadi tidak ada yang menyebar seperti Active-x.

Saya menggunakan klien email Sylpheed, yang hanya teks biasa.

Saya menggunakan Opera yang lebih lama dengan sebagian besar hal dinonaktifkan. Saya mengaktifkan JS hanya untuk memposting seperti yang saya lakukan sekarang.

Karena saya boot dari CD, ini adalah awal yang baru setiap saat. Tidak ada sistem operasi pada hard drive saya.

Ketika saya boot, saya dapat menghentikan dan menghitung sekitar 15 proses. Dan saya tahu semuanya. Sebagai root, tidak ada yang disembunyikan dari mataku.

Saya melakukan dukungan teknis situs web komersial selama beberapa tahun, jadi saya bukan pengguna komputer biasa.

Windows mencoba membatasi opsi boot, mengenkripsi hard drive, mengenkripsi atau hash program, selalu menerapkan patch keamanan SETELAH terinfeksi. Namun mereka terus menggunakan Active-x dan mekanisme yang setara untuk menyebarkan kuman mereka.

Orang ingin mengeklik tautan web yang membuka spreadsheet dan semua itu. Dan orang-orang bersikeras untuk menyimpan kata sandi di browser mereka karena lebih nyaman.

Banyak pengguna windows memiliki login yang sangat rumit dan mereka tidak dapat mengerti mengapa mereka masih mendapatkan virus. Itu karena sisa mesin adalah pintu terbuka lebar.

Ini seperti pengguna narkoba yang memiliki jarum "bersih" yang mereka bagikan dengan teman-teman mereka.

Saya harap ini dapat menghilangkan beberapa kesalahpahaman tentang keamanan dan "cara anak anjing."

Saya memang memikirkan satu situasi di mana sesuatu seperti Puppy Linux akan cukup aman (atau jadi saya pikir - saya menyambut komentar.) Jika Anda menjalankannya dari Live CD pada sistem tanpa perangkat penyimpanan yang dapat dipasang (yang berarti tidak ada hard drive dalam sistem, atau setidaknya bukan yang pernah Anda gunakan), maka bahkan jika Anda mengunjungi situs web yang mengeksploitasi beberapa lubang di browser yang belum ditonton, saat berikutnya Anda me-reboot sistem Anda akan bersih. * Tentu saja, di antara waktu ketika Anda telah mengunjungi situs web dan reboot Anda, mungkin ada beberapa keylogger yang menangkap kata sandi yang Anda masukkan, jadi Anda harus berhati-hati, mungkin hanya mengunjungi situs web yang ditandai kecuali Anda tidak berencana untuk masuk ke mana pun. Anda dapat menyimpan file di USB flash drive,

* Saya telah membaca tentang virus (walaupun untungnya mereka seharusnya langka) yang dapat menginfeksi BIOS Anda atau firmware lain, dan jika itu terjadi maka reboot tidak akan membantu.

sml bertanya: "Juga, dapatkah Anda memberikan tautan ke pasukan polisi yang merekomendasikan Puppy?"

Mungkin ini akan membantu: Inspektur Detektif Bruce van der Graaf dari Unit Investigasi Kejahatan Komputer Kepolisian New South Wales, ketika memberikan bukti atas nama Pemerintah New South Wales pada audiensi publik tentang Kejahatan Dunia Maya, secara khusus merekomendasikan Puppy Linux sebagai satu tentang prinsip metode aman melakukan transaksi komersial di internet, seperti perbankan online.

Untuk perinciannya, lihat: http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

Dan kebetulan, tidak ada dari mereka yang terlibat dalam pembuatan Puppy Linux menganggapnya sebagai "distro mainan".

Saya belum pernah mendengar Puppy Linux dikompromikan dalam 6 tahun penggunaan sebagai instalasi yang hemat. Saya percaya ini karena Puppy berjalan dengan sebagian besar layanan dimatikan (coba gunakan situs keamanan web seperti Shields Up. Saya telah melakukan pengujian keamanan yang luas sebagai bagian dari pekerjaan saya sebagai Pendidik Linux dan telah menemukan Puppy lebih aman daripada Ubuntu bahkan di root karena alasan layanan di atas. Tentu saja jika Anda menjalankan puppy sebagai remaster sebagai live cd dengan browser ditambahkan dengan sangat aman, (tanpa hard drive terpasang saat di Web). Ini adalah metode yang direkomendasikan oleh polisi kekuatan di seluruh dunia untuk sistem yang benar-benar aman.