The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Четвёртый тестовый выпуск ОС Subgraph

25.09.2017 11:14

Спустя 10 месяцев с момента прошлого обновления сформирован четвёртый альфа-выпуск проекта Subgraph OS, в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. По сравнению с системой Qubes, использующей средства виртуализации для изоляции приложений, применение контейнеров позволило значительно снизить потребление ресурсов и сделать систему более дружественной для пользователей. Для работы Subgraph требуется 64-разрядный CPU, 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб дискового пространства. Для загрузки доступен iso-образ размером 1.3 Гб.

Проект Subgraph изначально нацелен на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Базовое графическое окружение основано на GNOME 3. В качестве браузера применяется Tor Browser, в качестве почтового клиента Icedove/Thunderbird, а для мгновенного обмена сообщениями предлагается CoyIM c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).

В качестве основы используется пакетная база Debian GNU/Linux с ядром Linux, собранным с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Специфичные для дистрибутива сервисы и инструменты написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий полную повторяемость сборок (пересборка пользователем приведёт к формированию полностью совпадающих исполняемых файлов).

Все сетевые запросы приложений по умолчанию перехватываютя компонентом Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети предоставляется только приложениям, занесённым в белый список. При этом трафик разных приложений отправляется через разные цепочки узлов Tor (для каждого приложения создаётся отдельный сеанс подключения к Tor). При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, пользователю выводится диалог с предложением подтвердить или отклонить операцию.

Каждое приложение запускается в отдельных изолированных контейнерах Oz, в которых применяются пространства имён, Seccomp filter, Capabilities и прослойка Xpra, изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, другим процессам, системным вызовам, полностью контролируются обращения по сети и возможен вывод только в привязанное к приложению окно на рабочем столе.

Основные изменения в четвёртом альфа-выпуске:

  • В системе контейнерной изоляции Oz обеспечена возможность создания произвольного числа именованных сетевых мостов и привязки их к различным изолированным окружениям. По умолчанию данная возможность пока включена только в окружении с браузером Chromium (доступен из репозитория и не входит в базовый состав ISO-образа), что позволяет использовать его для прямой навигации по ресурсам сети в режиме Clearnet (не через Tor);
  • Переработано изолированное окружение для почтового клиента Thunderbird. Закрытые ключи теперь недоступны из контейнера, а операции расшифровки и работы с цифровыми подписями выполняются через обращение к gpg-agent, используя привязанный к GPG сокет;
  • Экспериментальная возможность запуска одноразовых контейнеров, содержимое которых не сохраняется между перезапусками. Для включения поддержки в /etc/oz/oz.conf следует указать "enable_ephemerals": true, после чего при запуске будет выводиться диалог с предложением запустить приложение в одноразовом или обычном контейнере (после завершения тестирования навязчивый диалог будет заменён);
  • Переработана организация доступа к совместно используемым директориям, через которые можно получить доступ к файлам вне контейнера. Настройки XDG_DIRS теперь автоматически привязываются к совместным директориям вне контейнера, например, для Chromium автоматически создаётся проброс в общую директорию для сохранения загруженных файлов, не требуя от пользователя каких-либо действий.

Новшества, которые которые находятся в разработке и пока не готовы для тестирования:

  • Значительная модернизация динамического межсетевого экрана: поддержка регулирования доступа приложений, использующих SOCKS5 (фильтрация сетевых запросов через Tor); интеграция TLSGuard; поддержка UDP и ICMP; учёт особенностей контейнеров и возможность задания политик доступа;
  • Возможность запуска консольных приложений в контейнерах Oz с ограничением на основе белого списка на основе seccomp-bpf, в том числе добавлен контейнер с gnome-terminal;
  • Применение системных фильтров трафика к сетевым соединениям через Tor - вместо прямого обращения к SOCKS5 порту Tor соединения от всех непривилегированных приложений будут транслироваться через динамический межсетевой экран Subgraph Firewall, на котором будут пропускаться только шифрованные TLS-соединения;
  • Возможность динамического проброса USB-устройств в контейнеры. Например, для Chromium предоставлена возможность обращаться к брелокам Yubikeys, а Electrum к аппаратным кошелькам (Ledger Nano S);
  • Поддержка работы с шиной i2p из контейнеров (например, HexChat и Chromium);
  • Подготовлен "Chronion", профиль контейнера для Chromium, который работает только через Tor, защищает от утечки сведений об IP через WebRTC и не сохраняет данные между перезапусками. Chronion обеспечивает высокую производительность и стойкость к эксплуатации уязвимостей, но пока слабо противостоит техникам идентификации системы (fingerprinting) по параметрам браузера;
  • Поддержка WireGuard и VPN на базе IPSec в контейнерах Oz;
  • Расширенные возможности настройки Tor, такие как управление шлюзами и установкой новых сеансов;
  • Режим работы без Tor: возможность выбора использования Tor для всей системы или только для отдельных контейнеров.


  1. Главная ссылка к новости (https://subgraph.com//blog/sub...)
  2. OpenNews: Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе
  3. OpenNews: Выпуск Whonix 13, дистрибутива для обеспечения анонимных коммуникаций
  4. OpenNews: В рамках проекта CopperheadOS развивается защищённый вариант платформы Android
  5. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  6. OpenNews: Доступна ОС Qubes 3.2, использующей виртуализацию для изоляции приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47266-subgraph
Ключевые слова: subgraph, tor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:13, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    Нужно больше дистрибутивов.
     
     
  • 2.4, Аноним (-), 12:20, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А что, предлагаешь жить с одними и теми же скучными обоями?
     
     
  • 3.12, Всем Анонимам Аноним (?), 13:45, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не, он предлагает поставить их все на одном компе
     

  • 1.2, Аноним (-), 12:20, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Зачем такие сложности. Достаточно одноразовой (stateless) Live-системы с изоляцией сети, типа как в Whonix. Нужно не защищать систему от взлома (как не изолируй а через дыру в ядре получат root и через контейнер), а делать так, чтобы этот взлом никак не повлиял на пользователя (работа организуется как в потенциально уже уязвимой системе).
     
     
  • 2.10, Аноним (-), 13:33, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Выпусти свой дистр, а мы потом посмеемся в комментах.
     
  • 2.18, Аноним (-), 14:41, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > как не изолируй а через дыру в ядре получат root и через контейнер

    Для этого нужно минимум две дыры в ядре: одна чтобы поднять привилегии до рута, вторая чтобы выйти из контейнера.

     
     
  • 3.52, Аноним (-), 23:55, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в контейнерах без аппартной виртуализации - сразу до рута
     
  • 2.22, Аноним (-), 17:39, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подробнее мысль развернуть? Интересная идея.
     

  • 1.3, Аноним (-), 12:20, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    CoyIM судя по скриншотам переделанный Pidgin.
    Разве GRsec не закрыли исходники?
    Очередная поделка на debian, но в принципе интересная.
     
     
  • 2.7, sage (??), 12:53, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    CoyIM написан с нуля.
     
     
  • 3.20, Аноним (-), 17:29, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://coy.im/how-to-use/
     
     
  • 4.31, фребсдоюзрнемогунайтивыход (?), 22:11, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да чтоб тебе пусто было, полез по ссылкам дальше и через час очнулся с кучей вкладок с кучей проектов
    https://github.com/saenzramiro/rambox
    https://github.com/RocketChat/Rocket.Chat
    https://dfabric.github.io/DPlatform-ShellCore/
    https://github.com/mattermost/mattermost-server
    и даже тюториал как на метеоре самому сделать слакоподобную хрень https://scotch.io/tutorials/building-a-slack-clone-in-meteor-js-getting-starte
     
  • 3.21, Аноним (-), 17:31, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оу, оно на Go написано, ну значит действительно что-то свое - извиняюсь.
     
     
  • 4.38, фыва (?), 07:13, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    "CoyIM is a new client for the XMPP protocol. It is built upon https://github.com/agl/xmpp-client. It adds a graphical user interface and tries to be safe and secure by default."

    Не совсем свое, они интерфейс к консольной программе написали, правда, та тоже на Go.

     
  • 2.8, Аноним (-), 13:30, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    и где ты нашел эти скриншоты, похожие на pidgin?
     
  • 2.15, YetAnotherOnanym (ok), 14:20, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Разве GRsec не закрыли исходники?

    Фарш невозможно провернуть назад.

     

  • 1.5, EHLO (?), 12:29, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Не буду читать, но осуждаю^W готов поспорить, что в тексте есть слово "Go"
     
     
  • 2.6, Анонимм (??), 12:34, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    "Специфичные для дистрибутива сервисы и инструменты написаны на языке Go"
     
  • 2.14, Аноним (-), 13:53, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    CoyIM написан на Go.
     

  • 1.9, Онаним (?), 13:31, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Доступ к сети предоставляется только приложениям, занесённым в белый список.

    Как? Хочу такое в обычном дистре, без Тора и без GNOME3.

     
     
  • 2.24, Аноним (-), 17:44, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нужна:
    1) концепция бесшовного перевода программ под Debian в контейнер и обратно;

    2) концепция (если необходимо) а в случае ненадобности доказательство беспроблемности сосуществования обычного окружения и окружения в контейнере;

     
  • 2.26, angra (ok), 18:36, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Два варианта:
    1. Запускать все приложения из индивидуальных docker контейнеров. По дефолту они все лишены сети, для нужных сеть организуется явно.
    2. Создать два контейнера, используя lxc, lxd или openvz. Одному контейнеру доступ к внешней сети дать, второму - нет. Приложения ставить в соответствующие контейнеры.
     
  • 2.28, EHLO (?), 19:06, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Как? Хочу такое в обычном дистре, без Тора и без GNOME3.

    AppArmor в самом обычном есть.
    В менее обычных SELinux. Последний не особенно адекватен, как практика показывает и я его отключаю и не стесняюсь этого. Но слышал что существуют корефеи, умеющие его настраивать на этих ваших редхатах.

     
     
  • 3.34, Аноним (-), 01:09, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В менее обычных SELinux. Последний не особенно адекватен, как практика показывает и я его отключаю и не стесняюсь этого. Но слышал что существуют корефеи, умеющие его настраивать на этих ваших редхатах.

    Настраиваю SELinux в Debian, без Редхата и смс. Корифеем себя не считаю, однако гляда на принципиальных отключальщиком иногда посмеиваюсь в ус. Из моей практики, неадекватность SELinux обычно объясняется нежеланием вникать в его устройство и читать логи.

     
     
  • 4.42, EHLO (?), 14:39, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно странные люди -- в нормальном ПО разбираются и смотрят логи, а в неадекватном не желают и отключают полностью. Это смешно, надо наоборот делать.
     

  • 1.11, AlexYeCu_not_logged (?), 13:39, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >Взаимодействие с внешним миром осуществляется только через сеть Tor.

    Это точно про безопасность?

     
     
  • 2.13, Всем Анонимам Аноним (?), 13:47, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это про паранойю.
     
     
  • 3.17, Онаним (?), 14:25, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это издевательство над параноиками. Всем известно, что Тор в открытую финансируется АНБ.
     

  • 1.16, Аноним (-), 14:23, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По-моему, очень интересный дистр. Всяко нужнее Кали
     
  • 1.23, Аноним (-), 17:42, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    wireguard не имеет никакого отношения к ipsec
     
  • 1.27, Аноним (-), 18:48, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Главный вопрос - зачем интернет калькулятору?
    Через тор все эти ваши p2p будут работать?
     
  • 1.29, Аноним (-), 19:51, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пах грсекьюрити которая судится с GPL(https://www.opennet.ru/opennews/art.shtml?num=46828).
    Свернется разработка дистрибутива как hardend сборки.
     
  • 1.33, vantoo (ok), 22:31, 25/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Подскажите нубу в контейнерах, есть ли возможность обмениваться файлами между контейнерами, или они тоже изолированы?
     
     
  • 2.35, Аноним (-), 01:10, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Подскажите нубу в контейнерах, есть ли возможность обмениваться файлами между контейнерами, или они тоже изолированы?

    Принципиальных ограничений для этого нет, поэтому зависит от того, как настроишь.

     

  • 1.36, Аноним (-), 01:25, 26/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    почему так много дистров клепается? неужели сообрать "новую ос"  так же просто как  запостить на опеннете ? :D
    или просто всекому не лень выучили BLFS?
     
  • 1.37, AsukaLangleyfag (?), 06:33, 26/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >CoyIM
    >Not yet audited. Do not use for anything sensitive
     
  • 1.49, Ващенаглухо (ok), 17:51, 26/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Где они взяли Grsecurity/PaX патчи? Я тоже хочу
     
     
  • 2.50, Anonimous (?), 20:22, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У них наверняка есть сорцы для текущего ядра + спеки в репах, и соответственно в папке дебиан (спеки) должны лежать все накладываемые патчи, в т.ч. и то что вам нужно.
     
  • 2.53, anonko (?), 04:34, 27/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/minipli/linux-unofficial_grsec
     

  • 1.51, Аноним (-), 21:43, 26/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подготовлен "Chronion", профиль контейнера для Chromium, который работает только через Tor, защищает от утечки сведений об IP через WebRTC и не сохраняет данные между перезапусками. Chronion обеспечивает высокую производительность и стойкость к эксплуатации уязвимостей, но пока слабо противостоит техникам идентификации системы (fingerprinting) по параметрам браузера;


    Что, в Chromium по определению меньше уязвимостей? С учётом того, что 146% юзеров работает под хромом (инфа 146% ;-), может это и не плохо, что ребята потеют над хромым, а не над Firefox или тор-бандлом.

    Ну а что бы уж совсем правдоподобно было, необходимо перестроить IP стек OS host-а так, что бы фингерпринт соответствовал какой нибуть " популярной" оси, и не будем показывать пальцем на семерочку ;-)

     
  • 1.54, Аноним (-), 16:04, 29/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Типичный хонипот.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру