Quando é que o modelo de segurança do Linux do Puppy faz sentido?

16

Acabei de passar algumas horas jogando com o Puppy linux, que tem alguns recursos muito interessantes, mas há algumas coisas sobre sua abordagem de segurança (pelo menos as configurações padrão) que me preocupam:

  1. Parece que a maneira pretendida de usá-lo é executar tudo como raiz
  2. Não há senha para root (por padrão - é claro que eu poderia adicionar uma)
  3. Não há nenhuma maneira automatizada (ou até mesmo simples não automatizada) de obter atualizações de segurança para pacotes, até onde eu sei. (Eu poderia ter perdido alguma coisa.)

Sempre senti na cabeça a importância de ter uma senha complexa, de não navegar na Internet como um usuário administrador / root e de manter o software do sistema (e navegador e plug-ins) atualizados com correções para o vulnerabilidades mais recentes. No entanto, apesar do que me parece uma receita para o desastre (descrito acima), o Puppy é popular o bastante para ter muitos spin-offs, então deve haver cenários em que a aparente falta de segurança seja um problema. O que são eles?

    
por Paul Lynch 25.08.2012 / 02:46

8 respostas

6

Puppy é uma distro de brinquedo, para os amadores. Esse é o único cenário em que o modelo de segurança Puppy (falta de) faz sentido.

As agências que estudam a segurança da informação publicam estratégias de mitigação baseadas nas estatísticas de intrusões que veem. Aqui está a lista do governo australiano:

link

Eles estimam que seguir as 4 principais estratégias pararia 85% das intrusões. Estes são:

  1. Solicitações de patch , por exemplo Visualizador de PDF, Flash Player, Microsoft Office e Java. Corrigir ou mitigar dentro de dois dias para alto risco vulnerabilidades. Use a versão mais recente dos aplicativos.

  2. Vulnerabilidades do sistema operacional de patch. Correção ou atenuação em dois dias para vulnerabilidades de alto risco. Use o sistema operacional mais recente versão.

  3. Minimize o número de usuários com domínio ou administrativa local privilégios. Esses usuários devem usar uma conta separada sem privilégios para e-mail e navegação na Web.

  4. Lista de permissões de aplicativos para ajudar a evitar softwares mal-intencionados e outros programas não aprovados da execução, por ex. usando o Microsoft Políticas de Restrição de Software ou AppLocker.

O filhote falha em todas essas contagens. Distros sérias, como Fedora, OpenSUSE, Debian, etc., são muito mais seguras. Todas essas distribuições possuem listas de e-mail de segurança ativas que oferecem correções de segurança oportunas, oferecem listas brancas de aplicativos via AppArmor e / ou SELinux e, é claro, não executam tudo como root (honestamente, wtf?).

Se você valoriza sua segurança, não use o Puppy para nada sério.

    
por 11.10.2012 / 13:19
4

Mais de 30 anos de programação em dezenas de idiomas, desde a montagem até a administração do banco de dados Oracle , e não encontrei nada mais seguro e confiável do que o Puppy Linux .

Como todos os sistemas Unix / Linux, a segurança do Puppy Linux é um mundo muito diferente do que o Microsoft mais familiarizado. O menosprezo expresso em outras respostas é completamente compreensível, embora do ponto de vista da Microsoft, mas decorre da falta de compreensão de que existem outras abordagens à segurança.

Em geral, os O / Ss do Microsoft Windows assumem acesso total a tudo, a menos que seja explicitamente negado. O Unix / Linux não assume acesso a nada, a menos que seja explicitamente concedido. Isso ajuda muito na prevenção do acesso não autorizado.

O usuário do * nix root tem acesso total ao mais tudo, embora mesmo root seja rotineiramente impedido de fazer coisas como executar um arquivo que não tenha o sinalizador de permissão de execução definido e conectando-se a outro host via SSH sem uma senha ou compartilhamento de chave pré-combinado.

Ao contrário do Linux "nativo", o Puppy Linux foi otimizado para um ambiente usuário único . O usuário único, root , tem controle total da máquina e, portanto, tem a capacidade de protegê-la melhor de intrusos. Se você precisa acomodar vários usuários, tente uma das muitas outras distribuições Linux.

O uso do unionfs do Puppy Linux / aufs mantêm todos os arquivos alterados recentemente em camadas somente leitura. Isso fornece uma capacidade de "desfazer" que permite a restauração mais fácil de todo o sistema para uma condição em bom estado. Como último recurso, o sistema original, conforme distribuído, é mantido na camada inferior somente leitura, onde pode ser reinicializado, preservando as alterações subsequentes nas camadas superiores.

Embora raramente discutido, o uso frequente de software é uma espada de vários gumes. As novas versões devem sempre acomodar o hardware atual, que muitas vezes cria falhas na interoperabilidade com software e hardware mais antigos. É por isso que, se você quiser manter qualquer coisa atualizada, será necessário manter tudo atualizado.

O patch pode ser a única defesa viável em ambientes Microsoft, mas todo Linux vem com uma grande caixa de ferramentas de técnicas para manter os sistemas seguros durante a execução em hardware que não é o mais recente e melhor.

O Puppy Linux é usado principalmente por programadores, administradores de sistemas e analistas para suas necessidades diárias de computação, fazendo coisas como ...

  • Acesso à Internet de dezenas de sites simultaneamente de várias máquinas / usuário.
  • Desenvolvendo software em praticamente qualquer idioma já inventado.
  • Experimentando infinitas permutações e combinações de configurações de software.
  • ... e até mesmo verificar e-mails e mídias sociais enquanto respondia perguntas aqui.
por 16.05.2013 / 17:09
2

O paradigma padrão 'sério' do Linux pode dar uma falsa sensação de segurança, além de ser bastante frustrante às vezes, com sua negação de acesso (cujo computador ?) Portanto, torna-se necessário executar muitos aplicativos como 'root', mesmo quando conectado ao www. Aliás, eu usei um Puppy 'ao vivo' para destruir uma instalação baseada no Debian que eu fiz deliberadamente 'over-secure'. Eu também fiz o mesmo com o KolibriOS ('Hummingbird OS'), que está escrito em ~ 100% ASM, & não reconhece as alegadas "defesas". Como exemplo, em um meio de armazenamento externo, formatado para ext4, o 'lost & encontrado 'pasta está bloqueada para a maioria dos Linuxen, mas não para um filhote de cachorro.

Em qualquer caso (AFAIK), o vetor / aplicativo de ataque / contaminação em potencial mais vulnerável, o navegador da Web, geralmente não é executado como 'root'. Por segurança, há o modo de navegação privada, https e, é claro, firewalls e firewalls de navegadores da Web (na parte superior), para não esquecer o poderoso limpador BleachBit.

Em relação à falta de atualizações, na minha experiência, o MSW é constantemente atualizado / corrigido, mas aparentemente é o sistema menos seguro de todos; Rolling-release Linuxen, com seu patch constante, quebra dentro de cerca de uma semana ou mais; LTS Linuxen com relativamente poucas atualizações, 'apenas trabalhe'; então a relativa falta de atualizações no Puppy (dependendo da versão) pode ser uma falsa área de preocupação, que me incomodou seriamente eu até que eu descobri um pouco mais.

Um importante recurso de segurança do Puppy é que (em uma instalação 'frugal', que é preferida / recomendada) cada sessão pode ser salva ou não, em um arquivo padrão ou único, então é possível executar 'sob medida' sessões para fins específicos, exigindo logout / login para retornar ao uso 'normal'. Contas de usuários restritas também podem ser adicionadas, para fins específicos. Dado que uma instalação frugal é efetivamente um sistema 'live', o Puppy pode realmente ser mais seguro que o 'normal' Linuxen, se usado corretamente.

Referências:

link

link

Por fim, nunca participe de um fórum que exige registro, use sempre um endereço de e-mail "fantasma".

    
por 24.04.2014 / 12:49
2

Como já foi dito, o Puppy usa um modelo de segurança diferente (ou paradigma diferente, se você preferir) e deve ser julgado experimentalmente, no mundo real. Minhas experiências podem ser resumidas da seguinte forma:

  • Debian: hackeado, com apps telefonando para casa.
  • Slackware: hackeado.
  • Arch: nunca ficou estável o suficiente para ser hackeado.
  • Windows XP: Desinstalo o driver ethernet depois que ele se registra na Microsoft. 'Nuff disse.
  • OpenBSD: hackeado. Sim, eu sei.
  • DragonFlyBSD: nunca penetrou, se for executado em tudo.
  • FreeBSD: Até agora, tudo bem. Usando o PF. Usado menos de 8 meses.
  • Filhote de cachorro: em 6 anos, nunca hackeado. Nunca . Ainda é minha principal distro quando estou precisando de simplicidade e confiabilidade.

Para reiterar: Puppy usa um modelo diferente, o que muitos acreditam ser inerentemente seguro. Comparando-o ao tradicional Unix, o Windows ou

por 18.05.2015 / 01:14
2

Sou usuário do Linux desde 2000 e nunca tive um vírus externo. Eu me infectei uma vez ao usar um disco rígido antigo do Windows para mover alguns arquivos. Eu corri Clamtkl para limpar tudo.

Estou no Puppylinux há vários anos. Eu ainda não tenho problemas com vírus de qualquer tipo. As pessoas do Windows coçam a cabeça como "Como isso é possível?"

Para mim, é como um motorista de carro perguntando a um motociclista: "Como você pode dirigir com apenas duas rodas?"

O Puppy usa dbus apenas para gerenciamento de sessões. Então nada é espalhado sobre como o Active-x faz.

Eu uso o cliente de e-mail Sylpheed, que é apenas texto simples.

Eu uso um Opera mais antigo com a maioria das coisas desativadas. Eu ligo o JS apenas para postar como estou fazendo agora.

Desde que eu inicializo do CD é sempre um novo começo. Não há sistemas operacionais nos meus discos rígidos.

Quando inicializo, posso fazer um htop e contar cerca de 15 processos. E eu conheço todos eles. Como raiz, não há nada escondido dos meus olhos.

Eu fiz suporte técnico a websites comerciais por vários anos, então não sou um usuário típico de computador.

O Windows tenta limitar as opções de inicialização, criptografa os discos rígidos, criptografa ou programa de hash, sempre aplicando patches de segurança APÓS ficar infectado. E, no entanto, eles continuam a usar mecanismos Active-x e equivalentes para espalhar seus germes.

As pessoas querem clicar em um link da Web que abre uma planilha e tudo isso. E as pessoas insistem em salvar senhas em seus navegadores porque é mais conveniente.

Muitos usuários do Windows têm logons incrivelmente complicados e não conseguem entender por que ainda estão recebendo vírus. É porque o resto da máquina é uma porta aberta.

É como usuários de drogas que têm agulhas "limpas" que compartilham com seus amigos.

Espero que isso possa esclarecer alguns mal-entendidos sobre segurança e "o modo cachorrinho".

    
por 22.09.2015 / 02:42
1

Pensei em uma situação em que algo como Puppy Linux seria bastante seguro (ou então eu acho - agradavelmente comentários). Se você executá-lo a partir de um Live CD em um sistema sem dispositivos de armazenamento montável (o que significa não há disco rígido no sistema, ou pelo menos nenhum que você já tenha usado), então mesmo que você visite um site que explore algum buraco no navegador não corrigido, a próxima vez que você reinicializar seu sistema estará limpo. entre o momento em que você visitou esse site e sua reinicialização, pode haver algum keylogger capturando as senhas que você digita, então você teria que ser cuidadoso, talvez apenas visitando sites marcados a menos que você não estivesse planejando entrar em qualquer lugar. Você pode salvar arquivos em uma unidade flash USB, embora, novamente, tenha que ter cuidado com a navegação na Web que você fez enquanto estava conectada (ou antes de estar conectada).

* Eu li sobre vírus (embora felizmente eles sejam raros) que podem infectar seu BIOS ou algum outro firmware, e se isso acontecer, a reinicialização não ajudará.

    
por 23.10.2012 / 04:28
1

sml perguntou: "Além disso, você pode fornecer um link para as forças policiais que recomendam Puppy?"

Talvez isso ajude: O inspetor detetive Bruce van der Graaf, da Unidade de Investigação de Crimes Informáticos da Polícia de New South Wales, ao fornecer provas em nome do Governo de New South Wales, em uma audiência pública sobre crimes cibernéticos, recomendou especificamente o Puppy Linux como um dos principais métodos de investigação. realizar com segurança transações comerciais na internet, como transações bancárias on-line.

Para detalhes, consulte: link

E, por acaso, nenhum dos envolvidos na criação do Puppy Linux o considera uma "distro de brinquedos".

    
por 25.09.2013 / 12:25
0

Eu nunca ouvi falar do Puppy Linux sendo comprometido em 6 anos de uso como uma instalação frugal. Acredito que isso ocorra porque o Puppy é executado com a maioria dos serviços desativados (tente usar um site de segurança da Web como o Shields Up. Fiz testes de segurança extensos como parte do meu trabalho como Educador Linux e descobri que o Puppy é mais seguro que o Ubuntu Claro, se você executar o filhote como um remaster como um live cd com um navegador adicionado é muito seguro, (sem nenhum disco rígido montado enquanto na Web). Este é o método recomendado pela polícia forças em todo o mundo por um sistema totalmente seguro.

    
por 26.08.2012 / 18:38