Debian è il gold standard per la sicurezza di Linux?

Debian è il gold standard per la sicurezza di Linux?

La sicurezza è una priorità importante per tutti gli utenti, anche per coloro che eseguono Linux come sistema operativo preferito. Un redattore si è chiesto in un recente thread di discussione se Debian debba essere considerata il gold standard per la sicurezza di Linux.

ZombieWithLasers ha iniziato la discussione con queste osservazioni e domande:

Ho notato che Debian tende a emergere molto quando si parla di sicurezza su Linux. Sembra essere la distribuzione di riferimento quando qualcuno parla di sicurezza e privacy. Molte delle distribuzioni white hat e focalizzate sulla sicurezza lo usano come base, tra cui Kali e Tails. L'EFF lo ha raccomandato in diverse occasioni, ed è stato persino ringraziato nei titoli di coda di Citizen Four. È davvero molto più sicuro di altre distribuzioni?

Capisco che ci siano preoccupazioni per le distribuzioni aziendali come RHEL, SUSE e Ubuntu, anche se queste preoccupazioni non sono fondate. La comunità open source / FLOSS ha sempre avuto una certa diffidenza nei confronti delle aziende. E le distribuzioni come Arch, Gentoo e Slackware? Arch è anche un membro della stessa organizzazione non profit di Debian.

Ci sono anche altre considerazioni, come GRSecurity e Systemd. Dalla maggior parte degli account, GRSecurity è migliore di SELinux, tuttavia è realmente offerto solo da Gentoo e Arch nei loro repository principali. Perché non hanno una reputazione di sicurezza aggiuntiva per questo? Systemd è una questione più complicata. Le opinioni andranno dall'essere molto più sicuro delle precedenti soluzioni init al fatto che sia prodotto dalla stessa NSA per creare vulnerabilità in Linux. Il problema verificabile che vedo è la sua dimensione. È risaputo che più piccolo e complesso è il software, minori sono le possibilità che emergano strani bug e vulnerabilità. Su questo, sembrerebbe che le alternative più leggere abbiano un leggero vantaggio in termini di sicurezza. Di nuovo, questo va a favore di distribuzioni come Gentoo, Void e Slackware.

Allora di cosa si tratta Debian? È solo la reputazione? È perché lavorano bene con la comunità e le organizzazioni come la FSF? È più un problema che Debian è più facile da consigliare? Certamente non consiglierei Gentoo a un nuovo utente e mi aspetto che siano sicuri. Sono onestamente curioso. C'è qualche fattore X segreto che Debian ha che mi manca? È davvero il gold standard nella sicurezza di Linux?

Altro su Reddit

I suoi colleghi redattori di Linux hanno risposto con le loro opinioni su Debian e sulla sicurezza:

Daemonpenguin : “Non credo di aver mai sentito parlare di Debian come particolarmente brava in fatto di sicurezza. Non che Debian sia pessima in questo, ma non ho mai conosciuto nessuno che scelga di usare Debian a causa di una caratteristica di sicurezza. Né ho mai sentito che Debian abbia una reputazione eccezionale per la sicurezza.

Penso che l'OP stia esaminando le distribuzioni focalizzate sulla sicurezza, visto che sono basate su Debian e presumendo che sia perché Debian è ultra sicura. Probabilmente non è così. Progetti come Tails e Kali probabilmente usano Debian come base perché è relativamente facile far girare Debian. Debian crea una base molto stabile e aperta. È facile estendere e personalizzare Debian e molti esempi da seguire.

Quindi Tails è probabilmente basato su Debian a causa della facilità di lavorare con Debian come piattaforma, non perché ha caratteristiche di sicurezza speciali.

Cose come cgroups (systemd) e SELinux sono un argomento completamente diverso e possono essere utilizzate con quasi tutte le distribuzioni. "

Silvernostrils : “Non hai mai definito la sicurezza, puoi“ hackerare ”un circuito flip-flop con un impulso temporizzato e renderlo flop-flip, significa che è insicuro? Intendo contro chi / cosa vuoi o proteggerti.

Anche la complessità e la scala non sono gli unici fattori, lo sono anche il tasso di cambiamento e le risorse disponibili. Se hai più occhio a guardare il codice o modifiche più lente e quindi più tempo per guardare il codice, riduci anche il rischio di errori.

Se riduci la complessità e la scala, potresti ottenere un effetto di rimbalzo in cui le risorse liberate non vengono spese per una migliore qualità del codice o una maggiore revisione del codice, ma per iterazioni più veloci. Non sono sicuro che tu non voglia solo accelerare la gara, hai intenzione di superare i tuoi avversari?

Inoltre non sono sicuro dei fuzzer o degli attacchi con IA ristretta e cosa è più difficile da digerire per quelli. E se non finiremo per avere un concorso che convoglia il codice attraverso misure di difesa sempre più elaborate e costose. Quanta potenza di calcolo siamo disposti a sacrificare? Sarà una battaglia economica?

Debian è sempre stata molto cauta / deliberata, molto stabile e molto affidabile, ed è relativamente facile da usare per la sicurezza che fornisce. Anche la comunità è grande, quindi è più probabile che qualcuno noti degli imbrogli.

Se guardi SEL vs GR, c'è anche lo slancio e il costo della transizione, se passo da SEL a GR ci sarà un periodo di tempo in cui la mia mancanza di esperienza nella configurazione di GR causerà un calo temporaneo della sicurezza ".

Tscs37 : "In termini di superficie di attacco, potresti considerare Alpine Linux come" il più sicuro "per impostazione predefinita, poiché ha fondamentalmente una superficie di attacco inesistente oltre a utilizzare un kernel e strumenti rinforzati per impostazione predefinita.

D'altra parte, nessuna distribuzione è veramente "sicura" per impostazione predefinita. Sono tutti vulnerabili agli attacchi in qualche modo, il meglio che puoi fare è sceglierne uno con cui sei a tuo agio, installare un kernel rinforzato, tenerti aggiornato su CVE e tenere la testa sotto la linea di fuoco. "

Boomboomsubban : “Mantiene una base stabile e lavora duramente per risolvere i problemi di sicurezza del backport, gli aggiornamenti introducono potenziali rischi che cercano di aspettare. GRsecurity è utilizzabile su Debian, il kernel patchato è nei repository e puoi compilarlo da solo se vuoi. E il loro processo decisionale è incredibilmente trasparente, il che conforta le persone se non altro ".

Jijfjeunsisheumeu : "La sicurezza di Debian è un blocco per così tante ragioni, che vanno dall'uso di glibc a una toolchain non rafforzata che viene usata semplicemente al fatto che ci sono state più istanze in cui la politica aggressiva di Debian di patch e fork dei pacchetti ha creato vulnerabilità di sicurezza che lo hanno fatto non esistono a monte.

Quest'ultimo è un problema davvero grosso, a meno che non sia assolutamente necessario, deviare dall'upstream è un incubo per la sicurezza in cui non si sa più quali vulnerabilità possono o possono avere. Se deve essere presente una correzione critica, deve essere un backport di una patch a monte.

Se vuoi usare un kernel Linux e vuoi sicurezza, davvero, vai su Hardened Gentoo, non ci sono concorrenti. Sì, puoi ottenere una cosa simile su Debian ricompilando il tuo sistema da solo con flag rinforzati, ma il gestore dei pacchetti non ti sarà di alcun aiuto. "

Cbmuser : “Debian lavora costantemente all'hardening . Il passaggio successivo è abilitare -fPIE per impostazione predefinita e utilizzare un'immagine del kernel firmata. È da un po 'di tempo che stiamo facendo l'hardening.

Inoltre, a differenza di Gentoo, siamo già passati a gcc-6 e abbiamo manutentori professionisti per toolchain, glibc e kernel (pagati dalle aziende).

Debian ha build riproducibili ed è ampiamente utilizzata negli interweb e supportata da aziende come Bytemark e HP Enterprise.

Sei scarsamente informato. "

Twiggy99999 : “Se leggi su Internet (lo so) ogni distribuzione è la più sicura, il fatto è che con Linux la distribuzione scelta da tutti è la migliore e tutte le altre“ fanno schifo ”. In realtà sono corrette, ogni distribuzione potrebbe essere la più sicura a seconda di come è stata configurata, cosa è installato come standard ecc. Ecc. Debian va bene fuori dagli schemi ma puoi facilmente renderla molto meno sicura come con qualsiasi distro ma ci sono anche cose che puoi fare per renderlo molto più sicuro. Non credo che ci sia una risposta giusta o sbagliata qui. "

Passthejoe : “Uso Fedora perché puoi facilmente crittografare un'installazione completa di Linux che viene installata come sistema dual-boot con Windows. Debian consente facilmente la crittografia completa solo se è l'unico SO sull'unità.

Dico "facilmente" perché sono sicuro che sia possibile fare queste cose nell'installatore Debian, ma probabilmente è super hacker e non facile.

Detto questo, eseguire un'installazione Debian completamente crittografata quando è l'unico sistema operativo è molto semplice, ed è un'ottima cosa che rende Debian un'ottima scelta per chi è attento alla sicurezza. "

Ilikerackmounts : “Gentoo per la natura di avere flag di compilazione variabili può renderlo meno suscettibile al concatenamento ROP (ma certamente ma a prova di proiettile). Aveva anche un profilo temprato con flag di utilizzo induriti. Tuttavia, direi che una distro che almeno tenta di indurirsi sarebbe centos / fedora / rhel con profili selinux configurati fuori dagli schemi.

Detto questo, ci sono stati una serie di umilianti snafus per tutte le distribuzioni per impedire la coraggiosa affermazione di essere incentrati sulla sicurezza, l'ultima delle quali sono state le vulnerabilità all'interno dei gestori di pacchetti ".

Altro su Reddit

DistroWatch recensisce Apricity OS 07.2016

Apricity OS è una distribuzione basata su Arch Linux che offre il browser specifico del sito ICE. ICE semplifica l'integrazione delle app Web nell'esperienza desktop. DistroWatch ha una recensione completa di Apricity OS 07.2016.

Jesse Smith riporta per DistroWatch:

Esito a fare affermazioni radicali su Apricity, i suoi punti di forza e di debolezza poiché ho avuto modo di utilizzare la mia copia installata del sistema operativo solo con una capacità limitata. Quasi tutto il mio breve tempo con la distribuzione è stato speso per eseguirlo da un disco live. Detto questo, nonostante la mia copia installata di Apricity non sia riuscita a darmi una sessione desktop, la maggior parte di ciò che ho sperimentato questa settimana mi è piaciuto.

Apricity aveva alcune caratteristiche che non mi interessavano. I bordi indistinti della finestra non erano ideali, ma è possibile cambiare il tema e sperimentare diversi stili di desktop. Non mi piace usare il lettore multimediale Totem, ma ce ne sono molti altri tra cui scegliere nei repository.

Mi piace che Apricity venga fornito con molto software senza troppe duplicazioni. Tende ad essere disponibile un programma per attività e la distribuzione copre molte attività. È incluso di tutto, dai giochi con Steam a una suite di produttività ai codec multimediali. Un nuovo utente può passare a qualsiasi cosa diversa dall'editing video con le applicazioni predefinite disponibili. Mi è piaciuto particolarmente che Syncthing sia stato installato in quanto è uno strumento che spero veda un uso più diffuso, sia per l'impostazione dei backup che per la condivisione di file.

Tutto sommato, mi piace quello che Apricity sta cercando di fare. Il progetto è relativamente nuovo e ha un buon inizio. Ci sono alcuni spigoli, ma non molti e penso che la distribuzione piacerà a molte persone, specialmente a coloro che vogliono eseguire un sistema operativo a rilascio progressivo con una configurazione iniziale molto semplice.

Altro su DistroWatch

10 grandi miglioramenti in Android 7.0 Nougat

Android 7.0 Nougat potrebbe essere la migliore versione di Android finora. Ma cosa lo distingue dalle versioni precedenti del sistema operativo mobile di Google? Uno scrittore di Forbes ha un elenco di dieci grandi miglioramenti in Android 7.0 Nougat.

Rapporti di Shelby Carpenter per Forbes:

Android 7.0 Nougat è disponibile per la maggior parte dei possessori di Nexus e verrà distribuito nel corso del prossimo anno per altri dispositivi Android. Nougat (noto anche come Android N) viene fornito con una serie di grandi modifiche rispetto a Marshmallow, l'ultimo sistema operativo Android. Prima di scaricare, ecco alcune delle più grandi nuove funzionalità da aspettarti:

1. Migliore durata della batteria

2. Notifiche rinnovate

3. Utilizzo dello schermo diviso

4. Nuovo utilizzo per il pulsante panoramica

5. Migliori interruttori

6. Menu Impostazioni rinnovato

7. Crittografia basata su file

8. Aggiornamenti di sistema più rapidi

9. Avvio diretto

10. Risparmio dati

Altro su Forbes

Ti sei perso una retata? Controlla la home page di Eye On Open per rimanere aggiornato sulle ultime notizie su open source e Linux .