Гораздо легче найти ошибку, нежели истину. Ошибка лежит на поверхности, и ее замечаешь сразу, а истина скрыта в глубине, и не всякий может отыскать ее

Поймал еврей золотую рыбку. Держит ее в руках. ...

Госучреждения Южной Кореи планируют перевести на Linux
Mon, 20 May 2019 23:36:17 +0300

Google ограничит доступ Huawei к своим сервисам для Android
Mon, 20 May 2019 08:35:29 +0300

Названы открытые образовательные проекты, получившие 15 млн долларов от фонда XPRIZE
Sun, 19 May 2019 09:39:29 +0300

Cloudflare, Mozilla и Facebook развивают BinaryAST для ускорения загрузки JavaScript
Fri, 17 May 2019 20:13:47 +0300

Microsoft открыл код библиотеки векторного поиска, используемой в Bing
Fri, 17 May 2019 10:18:44 +0300

Фонд свободного ПО сертифицировал звуковые карты и WiFi-адаптеры ThinkPenguin
Fri, 17 May 2019 09:08:30 +0300

Фонд Khronos создаёт рабочую группу по развитию открытых стандартов 3D-коммерции
Thu, 16 May 2019 22:32:19 +0300

В Firefox будут убраны настройки для отключения многопроцессного режима
Thu, 16 May 2019 08:24:50 +0300

Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust
Wed, 15 May 2019 23:41:59 +0300

Проект по избавлению GNOME от ошибок и недоработок, проявляющихся при работе поверх Wayland
Wed, 15 May 2019 12:14:47 +0300

В OpenBSD-CURRENT добавлена утилита sysupgrade для автоматического обновления
Tue, 14 May 2019 00:05:09 +0300

GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems
Sat, 11 May 2019 15:36:17 +0300

Linux-дистрибутиву MagOS исполнилось 10 лет
Sat, 11 May 2019 06:35:35 +0300

В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
Fri, 10 May 2019 10:30:06 +0300

Сделка по покупке NGINX компанией F5 Networks успешно завершена
Thu, 09 May 2019 21:30:19 +0300

Новости OPENNET
Новости

Агентство национальной кибербезопасности Франции опубликовало исходные тексты проекта CLIP OS, в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты в основном под свободной лицензией LGPLv2.1+.

В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.

Исполняемые и системные файлы в дистрибутиве отделены от изменяемых данных (корневой раздел монтируется в режиме только для чтения, а изменяемые каталоги выборочно подключаются при помощи bind-монтирования). Также применяется многоуровневая система доступа, разграничивающая обработку информации с разными уровнями конфиденциальности. Разделение осуществляется путём поддержания разных окружений, выполняемых в изолированных контейнерах, используя подход, напоминающий Qubes OS и Subgraph OS.

Прямое взаимодействие между окружениями запрещено. Каждый контейнер имеет доступ только к разрешённому набору данных и ограничен доступном только к необходимым системным вызовам. Для дополнительной изоляции контейнеров применяются патчи от проекта Landlock. Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы. Графическое окружение построено на основе композитного сервера на базе Wayland. Для дополнительной изоляции отдельных приложений также предлагается использовать Flatpak.

Загружаемые компоненты ОС и модули ядра верифицируются по цифровой подписи с использованием загрузки в режиме UEFI Secure Boot. Дополнительно в дистрибутиве организована проверка целостности файлов и связанных с ними метаданных по базе предварительно вычисленных хэшей. Целостность корневого раздела проверяется при помощи подсистемы DM-Verity. Обновление производится в атомарном режиме путём замены корневого раздела (новая версия копируется в запасной раздел, который затем делается активным, старый вариант остаётся для следующего обновления и может применяться для отката изменений).

Администратор имеет ограниченные права и не может скомпрометировать уже установленную систему и не имеет доступа к данным пользователей. Доступ администратора ограничен возможностью изменения только определённого набора настроек и файлов конфигурации. На разделах с данными применяется шифрование и верификация целостности (LUKS2, DM-Crypt и DM-Integrity). Опционально возможно шифрование и системных разделов.

Пользователь не может запустить произвольный исполняемый файл - запуск исполняемого кода и скриптов ограничен только разрешёнными компонентами (используется патч O_MAYEXEC). По умолчанию для защиты процессов применяется механизм защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение (код может быть исполнен только после запрещения записи, а запись возможна только после запрета исполнения).

Предоставлены инструменты для верифицированной сборки установочных образов из исходных текстов. Готовые установочные сборки не формируются, вместо них по аналогии с Gentoo предлагается собирать пакеты из исходных текстов. Процесс сборки повторяем, т.е. можно убедиться, что используемые исполняемые файлы собраны именно из имеющихся исходных текстов.

Для установки приложений используются портеджи Gentoo, но также развивается прослойка для поддержки src-пакетов из репозиториев Debian. По умолчанию при сборке портеджей включаются все доступные опции для повышения безопасности на этапе сборки (сборка в виде PIE, режимы защиты от переполнения стека и проверки границ буферов). В дистрибутиве также задействованы патчи для усиления безопасности ядра Linux и активированы MAC-расширения SELinux.

Дополнительно можно отметить, что сегодня исполнилось ровно 19 лет с момента основания проекта Gentoo Linux.

64.4888 71.9631 0.5856 9.3265

НОВОСТИ: Выпуск системы управления доступом к сети PacketFence 9.0 Sun, 19 May 2019 08:58:52 +0300

Состоялся релиз PacketFence 9.0, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы написан на языке Perl и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL и Debian.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome