Закон старшинства

Первый вариант более общего принципа всегда не совершеннее продуманного варианта более частного принципа.

- У тебя есть телефон? ...

Аудит не выявил следов установки шпионских чипов в материнских платах Super Micro
Tue, 11 Dec 2018 22:07:09 +0300

Первая открытая реализация анклава для аппаратно изолированных окружений
Tue, 11 Dec 2018 13:47:41 +0300

Доля государственных фондов США в финансировании Tor снизилась с 85% до 51%
Tue, 11 Dec 2018 09:31:39 +0300

Голосование за поддержку Adobe Premiere в Linux
Mon, 10 Dec 2018 18:58:45 +0300

Microsoft официально объявил о переходе Edge на движок Chromium
Fri, 07 Dec 2018 12:11:50 +0300

Фонд СПО признал Hyperbola полностью свободным дистрибутивом
Fri, 07 Dec 2018 11:55:53 +0300

Mozilla подготовит версию Firefox, оптимизированную для архитектуры ARM64
Fri, 07 Dec 2018 09:44:39 +0300

Linux Foundation унифицирует инструментарий для проверки соблюдения открытых лицензий
Thu, 06 Dec 2018 14:15:47 +0300

Платформа Eclipse прекращает поддержку 32-разрядной архитектуры
Thu, 06 Dec 2018 10:55:16 +0300

Выпущен патч, решающий проблему с blq-mq в ядре Linux 4.19, которая приводит к потере данных
Wed, 05 Dec 2018 07:27:24 +0300

Microsoft открыл код WPF, Windows Forms и WinUI
Tue, 04 Dec 2018 21:34:15 +0300

Сообщество Handshake пожертвовало миллион долларов Фонду свободного ПО
Tue, 04 Dec 2018 11:39:44 +0300

Microsoft заменит Edge браузером на основе свободного движка Chromium
Tue, 04 Dec 2018 08:18:16 +0300

Компания NVIDIA открыла код движка симуляции физических процессов PhysX
Mon, 03 Dec 2018 23:48:01 +0300

Дополнения для обхода Paywall удалены из каталогов Chrome и Mozilla
Mon, 03 Dec 2018 09:04:08 +0300

Новости OPENNET
Новости

Агентство национальной кибербезопасности Франции опубликовало исходные тексты проекта CLIP OS, в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты в основном под свободной лицензией LGPLv2.1+.

В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.

Исполняемые и системные файлы в дистрибутиве отделены от изменяемых данных (корневой раздел монтируется в режиме только для чтения, а изменяемые каталоги выборочно подключаются при помощи bind-монтирования). Также применяется многоуровневая система доступа, разграничивающая обработку информации с разными уровнями конфиденциальности. Разделение осуществляется путём поддержания разных окружений, выполняемых в изолированных контейнерах, используя подход, напоминающий Qubes OS и Subgraph OS.

Прямое взаимодействие между окружениями запрещено. Каждый контейнер имеет доступ только к разрешённому набору данных и ограничен доступном только к необходимым системным вызовам. Для дополнительной изоляции контейнеров применяются патчи от проекта Landlock. Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы. Графическое окружение построено на основе композитного сервера на базе Wayland. Для дополнительной изоляции отдельных приложений также предлагается использовать Flatpak.

Загружаемые компоненты ОС и модули ядра верифицируются по цифровой подписи с использованием загрузки в режиме UEFI Secure Boot. Дополнительно в дистрибутиве организована проверка целостности файлов и связанных с ними метаданных по базе предварительно вычисленных хэшей. Целостность корневого раздела проверяется при помощи подсистемы DM-Verity. Обновление производится в атомарном режиме путём замены корневого раздела (новая версия копируется в запасной раздел, который затем делается активным, старый вариант остаётся для следующего обновления и может применяться для отката изменений).

Администратор имеет ограниченные права и не может скомпрометировать уже установленную систему и не имеет доступа к данным пользователей. Доступ администратора ограничен возможностью изменения только определённого набора настроек и файлов конфигурации. На разделах с данными применяется шифрование и верификация целостности (LUKS2, DM-Crypt и DM-Integrity). Опционально возможно шифрование и системных разделов.

Пользователь не может запустить произвольный исполняемый файл - запуск исполняемого кода и скриптов ограничен только разрешёнными компонентами (используется патч O_MAYEXEC). По умолчанию для защиты процессов применяется механизм защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение (код может быть исполнен только после запрещения записи, а запись возможна только после запрета исполнения).

Предоставлены инструменты для верифицированной сборки установочных образов из исходных текстов. Готовые установочные сборки не формируются, вместо них по аналогии с Gentoo предлагается собирать пакеты из исходных текстов. Процесс сборки повторяем, т.е. можно убедиться, что используемые исполняемые файлы собраны именно из имеющихся исходных текстов.

Для установки приложений используются портеджи Gentoo, но также развивается прослойка для поддержки src-пакетов из репозиториев Debian. По умолчанию при сборке портеджей включаются все доступные опции для повышения безопасности на этапе сборки (сборка в виде PIE, режимы защиты от переполнения стека и проверки границ буферов). В дистрибутиве также задействованы патчи для усиления безопасности ядра Linux и активированы MAC-расширения SELinux.

Дополнительно можно отметить, что сегодня исполнилось ровно 19 лет с момента основания проекта Gentoo Linux.

66.5022 75.6197 0.5882 9.6394

НОВОСТИ: Выпуск CentOS Atomic Host 7.1811, специализированной ОС для запу ... Sat, 08 Dec 2018 08:34:36 +0300

Проект CentOS представил выпуск минималистичной операционной системы CentOS Atomic Host 7.1811, которая поставляется в форме монолитного целиком обновляемого образа и предоставляет базовое окружение, которое содержит только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree, geard и т.п.), необходимых для запуска и управления изолированными контейнерами Docker. Все пакеты, обеспечивающие работу конечных приложений, поставляются непосредственно в составе контейнеров, а хост-система не содержит ничего лишнего.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome