澳门新葡亰平台官网2017 十大最佳用于隐私和安全保护的 Linux 发行

by admin on 2020年3月19日

法国国家网络安全局 ANSSI 近日宣布开源 CLIP
OS
,这是一个基于 Linux 的安全操作系统,开发和维护已超过 10 年。

  Apache一直是世界上使用率排名前三的Web服务器软件。企业使用其构建Web应用,从很大程度上都需要对其安全性进行综合考虑,以保证能够应对拒绝服务攻击、流量窃听、数据泄漏等网络威胁,从而保证企业门户网站的安全。

介绍

CLIP OS 最初是为满足 ANSSI
在管理上的特定需求而设计的,它包含一组安全机制,可以对恶意代码提供非常高的抵抗能力并保护敏感信息。此外,CLIP
OS
还提供了分区机制,可以在同一台电脑上同时处理两个完全隔离的软件环境中的公开和敏感信息,以避免敏感信息泄漏到公网。

  除了使用业界流行的防火墙、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)等外部安全设备对Apache服务进行安全防护外,作为一种优秀的开源服务器软件,Apache本身就具有很多优秀的特性可以为服务器管理员提供安全配置,以防范各种网络攻击。因此,充分、高效地挖掘Apache服务器的自身安全能力也是企业安全工作者一个必备的技能。基于此,本文将从4个方面详细剖析Apache服务器的安全防护要点。

优秀的Linux
操作系统是自由和开源的。因此,有数千种不同的“风味”可供选择——而某些类型的
Linux,例如 Ubuntu 是通用的,而且适用于许多不同的用途。

该项目与 Qubes OS
有着相似的目标,但在隔离机制和管理员权限上有很大的差异:

  策略一:服务器端安全设置

但安全意识高的用户会对专为隐私和安全设计的Linux
发行版更有兴趣,它们可以帮助你通过加密操作来保护数据的安全,并支持在
Live 模式下运行,无需将数据写入在使用中的硬盘。

环境隔离机制:

  1.限制root用户运行Apache服务器

这篇文章将列出十个关注隐私和安全性的Linux 发行版。

  • CLIP OS 利用 Linux 内核原语 (primitives)
    来创建容器,允许对隔离环境之间的数据交换进行细粒度控制和权限管控。

  • Qubes OS 通过 Xen 来执行虚拟化。

  一般情况下,在Linux下启动Apache服务器的进程httpd需要root权限。由于root权限太大,存在许多潜在的安全威胁。一些管理员为了安全起见,认为httpd服务器不可能没有安全漏洞,因而更愿意使用普通用户的权限来启动服务器。http.conf主配置文件里面有如下两个配置是Apache的安全保证,Apache在启动后,就将其本身设置为这两个选项设置的用户和组权限进行运行,降低了服务器的危险性。

1. Qubes OS

管理员权限:

  User apache
  Group apache

虽然不是面向新手用户的发行版,但Qubes
是顶级的关注隐私的发行版之一。该发行版必须使用图形化安装程序将操作系统安装到硬盘驱动器,这是被加密的。

  • CLIP OS
    上的管理员无法破坏系统完整性,也无法访问用户数据。他们只能访问一组受限的配置选项。

  • Qubes OS
    上每个虚拟机的主用户也是其自身环境的管理员。主域(dom0)的系统管理员可以更改所有配置选项,并可以不受任何限制地访问所有用户数据。

  需要特别指出的是:以上两个配置在主配置文件里面是默认选项,当采用root用户身份运行httpd进程后,系统将自动将该进程的用户组和权限改为apache,这样,httpd进程的权限就被限制在apache用户和组范围内,因而保证了安全。

Qubes OS 使用 Xen Hypervisor
来运行多个虚拟机,其主要理念就是基于隔离的安全,它会将系统隔离为“个人”、“工作”和“上网”。这样,即便你不小心在工作机器上下载了恶意软件,但个人文件不会受到影响。

澳门新葡亰平台官网 1

  2.向客户端隐藏Apache服务器的相关信息

主桌面会使用颜色编码的窗口,用于展示不同的虚拟机,以方便区分。

据悉,ANSSI 发布了 v4 和 v5 两个版本的 CLIP OS ,其中 v4
是稳定分支,但所有文档以法语提供;v5 为开发分支,目前处于 alpha
状态。CLIP
OS 可部署在安全网关以及客户端工作站(包括笔记本电脑)上,源码采用 LGPL
2.1 + 许可证授权,需要自己打包使用。

  Apache服务器的版本号可作为黑客入侵的重要信息被利用,通常他们在获得版本号后,通过网上搜索针对该版本服务器的漏洞,从而使用相应的技术和工具有针对性的入侵,这也是渗透测试的一个关键步骤。因此,为了避免一些不必要的麻烦和安全隐患,可以通过主配置文件httpd.conf下的如下两个选项进行:

2. Tails

(文/开源中国)    

  (1)ServerTokens:该选项用于控制服务器是否响应来自客户端的请求,向客户端输出服务器系统类型或者相应的内置模块等重要信息。Red
Hat Enterprise Linux
5操作系统在主配置文件中提供全局默认控制阈值为OS,即ServerTokens
OS。它们将向客户端公开操作系统信息和相关敏感信息,所以保证安全情况下需要在该选项后使用“ProductOnly”,即ServerTokens
ProductOnly。

Tails (The Amnesiac Incognito Live System) 可能是最有名的关注隐私的
Linux 发行版之一,它是基于 Debian 的自启动光盘和 USB 发行。Tails 可以在
Live 模式下从 DVD 运行,从而将其完全加载进系统
RAM,并且其活动不会产生任何痕迹。这款系统也可以像普遍的系统一样在“持久”模式下运行,关于系统的设置会存储在加密的
U 盘上。

  (2)ServerSignature:该选项控制由系统生成的页面(错误信息等)。默认情况下为off,即ServerSignature
off,该情况下不输出任何页面信息。另一情况为on,即ServerSignature
on,该情况下输出一行关于版本号等相关信息。安全情况下应该将其状态设为off。

Tails 为用户提供了完整的因特网匿名功能,所有的网络流量都会经过匿名网络
Tor,它可隐藏你的上网痕迹,使得网络流量难以被追踪。Tails
中配备的应用程序也是经过谨慎选择的,以安全为理念进行了预配置,以增强用户的隐私安全。例如,KeePassX
密码管理器、网页浏览器、IRC客户端、邮件mail客户端等。值得注意的是 Tails
会不断发现漏洞,因此请务必经常检查更新。(当然对待任何操作系统都应如此)

  图1和图2为安全设定这两个选项前后正常情况下和错误情况下的输出页面(通过Rhel5中的Mozilla
Firefox浏览器访问Rhel5中的Apache服务器)的详细对比。可以清楚看到,安全设定选项后,可以充分地向客户端用户隐藏Linux操作系统信息和Apache服务器版本信息。

3. BlackArch Linux

澳门新葡亰平台官网 2

这个基于Arch Linux 的轻量级渗透测试发行,包含了 1,600
多种不同的黑客工具以用于渗透测试和计算机取证分析,这节省了每次下载需要的时间。BlackArch
Linux
被设计为服务于系统渗透测试人员及安全研究人员,包含有多个轻量级窗口管理器如
Fluxbox、Openbox、Awesome、spectrwm。

图1 错误情况下未设定安全选项前示意

BlackArch Linux的提供形式是一张自启动运行 DVD 镜像,可以从 U 盘或 CD
上直接运行,也可以安装到电脑或虚拟机,甚至可以安装在树莓派上以给你提供一个便携的渗透测试计算机。

澳门新葡亰平台官网 3

特别值得一提的是它的‘anti-forensics’
目录,因为它包含了为已加密的设备扫描内存的工具,这有助于保护机器免受“冷启动攻击”。

图2 操作情况下使用安全设定后的对比

4. Kali

  3.设置虚拟目录和目录权限

Kali
Linux(以前叫做BackTrack),以印度教的一个女神命名,是最著名的渗透测试发行版之一,也是一份基于
Debian
的发行。它带有一套安全和计算机取证工具。其特色在于及时的安全更新(每周提供更新的
ISO 镜像),对 ARM
架构的支持(可在树莓派上运行),有四种流行的桌面环境供选择,以及能平滑升级到新版本。

  要从主目录以外的其他目录中进行发布,就必须创建虚拟目录。虚拟目录是一个位于Apache的主目录外的目录,它不包含在Apache的主目录中,但在访问Web站点的用户看来,它与主目录中的子目录是一样的。每个虚拟目录都有一个别名,用户Web浏览器中可以通过此别名来访问虚拟目录,如

Kali 有着令人敬畏的声望,它的创作者会通过Kali Linux
Dojo提供培训。课程内容包括定制自己的
Kali Linux ISO
和学习渗透测试的基础。对于无法参加培训的人士,所有的课程教育资源都可通过
Kali 的网站免费获取。

  使用Alias选项可以创建虚拟目录。在主配置文件中,Apache默认已经创建了两个虚拟目录。这两条语句分别建立了“/icons/”和“/manual”两个虚拟目录,它们对应的物理路径分别是“/var/www/icons/”和“/var/www/manual”。在主配置文件中,用户可以看到如下配置语句:

5. IprediaOS

  Alias /icons/ “/var/www/icons/”
  Alias /manual “/var/www/manual”

IprediaOS 是一个基于 Linux
的快速、强大和稳定的操作系统,提供了匿名的环境。所有的网络流量都会被自动和透明地加密和匿名化。这个面向隐私的操作系统基于
Fedora Linux,可在 Live 模式下运行也可安装到硬盘上。正如 Tails OS
会将所有网络流量通过 Tor 网络以避免被追踪,Ipredia
中所有的网络流量都会经过匿名的 I2P 网络。

  在实际使用过程中,用户可以自己创建虚拟目录。比如,创建名为/user的虚拟目录,它所对应的路径为上面几个例子中常用的/var/www/html/rhel5:

它的功能包括匿名电子邮件和BitTorrent 客户端,IRC 聊天,以及浏览
eepsites(特殊的 .i2p 扩展名)的功能。与 Tor 不同的是,I2P
不能作为访问正常的互联网的网关,所以 Ipredia
无法安全地访问常规网站。不过只能访问 eepsites
的优点是你的连接是真正无法被追溯的。

  Alias /test “/var/www/html/rhel5”

6. Whonix

  如果需要对其进行权限设置,可以加入如下语句:

引导一份Live
操作系统是一个麻烦,因为必须重新启动计算机,但将其安装到硬盘意味着有被攻击的风险。Whonix
提供了一个优雅的方案,它被设计为运行在 Virtualbox
中作为一个虚拟机而工作。由于它在虚拟机中运行,所以 Whonix 与所有可运行
Virtualbox 的操作系统兼容。

  <Directory “/var/www/html/rhel5”>
    AllowOverride None
    Options Indexes
    Order allow,deny
    Allow from all
  </Directory>

Whonix 是一份聚焦于匿名性、隐私、安全的操作系统。它基于 Tor
匿名网络、Debian GNU/Linux、基于隔离的安全性。Whonix
包括两部分,一部分只运行在 Tor 上并扮演网关角色,这部分叫做
Whonix-Gateway;另一部分叫做
Whonix-Workstation,位于隔离网络中。只有经由 Tor 的连接被允许。有了
Whonix,你就可以匿名使用应用程序并在因特网上运行服务器。因匿名解析而造成的信息泄漏不可能存在,即便获得了根权限的恶意软件也无法发现用户的真实
IP 地址。

  设置该虚拟目录和目录权限后,可以使用客户端浏览器进行测试验证,采用别名对该目录中的文件进行访问,浏览结果如图3所示。

7. Discreete Linux

澳门新葡亰平台官网 4

这个故意拼写错的发行版是优秀的Ubuntu Privacy Remix
的继承者。该操作系统不支持网络硬件或内部硬盘驱动器,因此所有的数据都离线存储在
RAM 或 USB 设备中。它可以在 Live
模式下运行,但当从卷启动时也允许将一些设置存储在加密的‘Cryptobox’中。

图3  使用虚拟目录的测试结果

还有另外一个值得关注的功能是它的内核模块只能在Discreete Linux
团队进行数字签名后才能安装。这可以防止黑客试图偷偷安装恶意软件。请注意,该操作系统目前尚处于
Beat 测试阶段。

澳门新葡亰平台官网 5

8. Parrot Security OS

这款渗透测试系统由来自意大利的团队Frozenbox 开发。和 Kali 和 BlackArch
一样,它也包含着许多易用的工具。Parrot Security OS
是面向安全的操作系统,它被设计为用于渗透测试、计算机取证、反向工程、攻击、云计算渗透测试、隐私/匿名、密码等场合。

Parrot 基于 Debian,其特色在于 MATE
桌面环境,拥有更丰富多彩的背景和菜单。因此,它对硬件的要求比其他渗透测试发行版(例如
Kali)更高。建议至少使用 2GB 的 RAM。

对于资源有限的用户,Parrot Cloud
是专门用于在服务器上运行的特殊发行版。它没有图形界面,但包含了一些网络和取证工具,可用于远程运行测试。

9. Subgraph OS

Subgraph OS 是基于 Debian 的 Linux
发行,为超强的安全性而设计,它提供了多种安全、匿名上网、加固的特性。它的内核通过许多安全性的增强进行了加固,Subgraph
还在诸如浏览器之类的高风险应用中创建了虚拟的“沙盒”。因此,任何针对独立应用程序的攻击都不会危及整个系统。

Subgraph OS 使用加固过的 Linux
内核及应用防火墙来阻止特定的可执行程序去访问网络,并强制要求所有的因特网流量都经由
Tor
网络。每个应用程序需要连接到网络和访问其他应用程序的“沙盒”都需经过手动的允许。

该发行的文件管理器带有特色工具可以从数据文件中移除元数据,并且还集成了OnionShare
文件共享软件。该发行使用 Icedove 邮件客户端以自动配合 Enigmail
对电子邮件进行加密。

在Subgraph
中,对文件系统的加密是强制性的,这意味着没有写入未加密数据的危险。要注意的是,Subgraph
还处于测试阶段,因此不要依赖使用它来保护任何真正敏感的数据(并且一如既往地保持常规的备份)。

10. TENS

第十个发行版恰好是TENS(Trusted End Node Security)。以前被称为
LPS(Lightweight Portable Security),这份 Linux
发行版是美国国防部的产品。Trusted End Node Security (TENS)是基于 Linux
的自启动运行光盘,其目标是让用户能在计算机上工作而不会有向恶意软件、键盘记录程序及其他因特网时代的恶疾泄露信息凭证及私人数据的风险。

它包含了最必需的一套应用软件及实用工具,例如Firefox
网页浏览器,以及一份加密向导以对个人文件进行加解密。但有一个‘Public
Deluxe’(公开豪华版)也包含了 Adobe Reader 和 LibreOffice
这样的工具。所有的版本都包含一个自定义防火墙,值得注意的是该操作系统支持通过
Smart Card 登录。

官方微博:

官方QQ群:148715490

官方QQ:2337862882

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图