The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Началось тестирование ОС Subgraph, использующей контейнерную..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от opennews (??) on 13-Мрт-16, 14:36 
После двух лет разработки доступен (https://subgraph.com/sgos/download/index.en.html) первый альфа-выпуск проект Subgraph OS (https://subgraph.com/sgos/index.en.html), в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor.  Для загрузки доступен iso-образ (https://subgraph.com/sgos/download/index.en.html) размером 1.5 Гб.

При этом разработчики не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе, и пытаются предоставить максимально простое и удобное для конечных пользователей решение. В качестве базового графического окружения предлагается  GNOME 3. В качестве почтового клиента предлагается Subgraph Mail (https://subgraph.com/sgos/secure-communication/index.en.html), написанный с нуля с оглядкой на предоставление встроенной поддержки безопасных коммуникаций, идентификации отправителя и проверки сообщений по цифровой подписи (используется встроенная реализация OpenPGP). В качестве браузера применяется Tor Browser. Для мгновенного обмена сообщениями используется CoyIM (https://coy.im/) c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).

<center>
<video width="720" height="406"  controls>
                <source src="https://support.subgraph.com/videos/oz_evince_01.webm" type="video/webm">
</video>
</center>


Все сетевые запросы приложений по умолчанию перехватываютя компонентом  Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети осуществляется на основе белого списка, в который включены приложения, которым разрешена сетевая активность по определённым сетевым портам. Трафик разных приложений отправляется через разные цепочки узлов Tor. При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, через задействование динамического межсетевого экрана пользователю выводится диалог с предложением подтвердить или отклонить операцию.


Для изоляции приложений применяется технология sandbox-контейнеров oz (https://github.com/subgraph/oz), в которой для изоляции применяются (https://github.com/subgraph/oz/wiki/Oz-Technical-Details) пространства имён, Seccomp filter, Capabilities и прослойка Xpra (https://xpra.org/), изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, рабочему столу (открыт доступ только в своё окно), другим процессам, системным вызовам, полностью контролируются обращения по сети.

<center><img src="https://www.opennet.dev/opennews/pics_base/0_1457868681.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>


Ядро Linux собрано с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Компоненты дистрибутива написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. В качестве основы используется пакетная база Debian GNU/Linux. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий повторяемость сборок (пересборка  пользователем приведёт к формированию полностью совпадающих исполняемых файлов).

По сравнению с системой Qubes, использующей полноценные механизмы виртуализации для изоляции разных типов приложений, применение контейнеров  позволило значительно снизить требования к имеющимся ресурсам, для работы Subgraph требуется 64-разрядный CPU Core2Duo (или новее), 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб места на диске. При этом, в Twitter (@rootkovska (https://twitter.com/rootkovska), @attractr (https://twitter.com/attractr),  @subgraph (https://twitter.com/subgraph)) и списке рассылки (https://secure-os.org/pipermail/desktops/) ведутся переговоры о сотрудничестве проектов Subgraph OS и Qubes, в рамках которого для Qubes в ближайшее время может быть подготовлен образ VM с Subgraph.

<center><a href="https://subgraph.com/sgos/graph/index.en.html"><img src="https://www.opennet.dev/opennews/pics_base/0_1457864984.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

URL: https://subgraph.com/sgos/download/index.en.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=44035

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +4 +/
Сообщение от Аноним (??) on 13-Мрт-16, 14:36 
>платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах

шо, опять?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +11 +/
Сообщение от Аноним (??) on 13-Мрт-16, 14:38 
Конкуренция не помешает. Пусть будет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Аноним (??) on 13-Мрт-16, 22:14 
А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть каждой программе по своему IP и Tor, не говоря уж о правилах файрвола.

Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если вы их все в контейнер перекинете.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

48. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от SysA on 14-Мрт-16, 15:04 
> А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть
> каждой программе по своему IP и Tor, не говоря уж о
> правилах файрвола.
> Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если
> вы их все в контейнер перекинете.

systemd-nspawn? ;)

А как вы об'едините картинку от разных контайнеров на общем десктопе?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

6. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –8 +/
Сообщение от Аноним (??) on 13-Мрт-16, 14:52 
Нынче это прибыльно. Школота из года в год тупее и тупее.
Вишь, даже кэртинкэ нарисовали насколько все крутэ :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 16:49 
> Вишь, даже кэртинкэ нарисовали насколько все крутэ :)

Пиксель-арт?
http://www.listoid.com/image/100/list_59_100_20101124_090212...
http://fool.deviantart.com/art/iso-castle-75849130
http://www.listoid.com/image/100/list_3_100_20101124_125700_...
https://retroarcadememories.files.wordpress.com/2014/10/marb...

Не, не слышал …

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 17:34 
Так а может есть какая тулза чтобы в пиксельарте рисовать схемы?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

3. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +4 +/
Сообщение от Аноним (??) on 13-Мрт-16, 14:44 
>пытаются предоставить максимально простое и удобное ... решение.
>графическое окружение основано на GNOME 3.

Взаимоисключающие параграфы?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 14:51 
Они хотели сказать - Максимально примитивное, и удобное с точки зрения его разработки решение.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –2 +/
Сообщение от Меломан1 on 13-Мрт-16, 15:05 
>Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам

Идея хорошая, только использование Тор не вяжется с этой концепцией. Тор можно использовать только в качестве анонимайзера и к безопасности не имеет никакого отношения, скорее наоборот ведь на выходе все пароли от почты и интернет-банкинга угоняются.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +5 +/
Сообщение от MPEG LA (ok) on 13-Мрт-16, 15:10 
>ведь на выходе все пароли от почты и интернет-банкинга угоняются.

почта и банкинг без https?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от sage (??) on 13-Мрт-16, 15:18 
Вот-вот, никогда не понимал этого аргумента.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –3 +/
Сообщение от Меломан1 on 13-Мрт-16, 17:11 
>>ведь на выходе все пароли от почты и интернет-банкинга угоняются.
> почта и банкинг без https?

MITM


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +1 +/
Сообщение от Аноним (??) on 13-Мрт-16, 19:57 
mitm без подмены сертификата? да Вы, батенька, фантазер :)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +1 +/
Сообщение от Аноним (??) on 13-Мрт-16, 20:48 
Так CA много разных, а оплошать достаточно одному.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +1 +/
Сообщение от MPEG LA (ok) on 13-Мрт-16, 20:53 
> Так CA много разных, а оплошать достаточно одному.

тогда при чем тут Tor?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 22:26 
> тогда при чем тут Tor?

Сам по себе - не при чем. Но за exit nodes нужен глаз да глаз. Поэтому в ответственных случаях стоит проверять что за сертификат подсунули.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –2 +/
Сообщение от Меломан1 on 13-Мрт-16, 21:32 
> mitm без подмены сертификата? да Вы, батенька, фантазер :)

mitmproxy генерирует подложный сертификат.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от MPEG LA (ok) on 13-Мрт-16, 22:08 
>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
> mitmproxy генерирует подложный сертификат.

и что? браузер пропускает без вопросов?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Меломан1 on 14-Мрт-16, 01:46 
>>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
>> mitmproxy генерирует подложный сертификат.
> и что? браузер пропускает без вопросов?

Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy, тогда браузер будет молчать как рыба.


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

42. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +1 +/
Сообщение от Нимано on 14-Мрт-16, 03:29 
> Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy, тогда
> браузер будет молчать как рыба.

Оригинально и весьма ловко!
Стесняюсь спросить, а не проще ли, учитывая обычные места хранения сертификатов, типа /etc/ssl/certs, сразу поставить клиенту трояна? Заодно и бикоины помайнить можно.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

29. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +2 +/
Сообщение от Аноним (??) on 13-Мрт-16, 22:33 
>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
> mitmproxy генерирует подложный сертификат.

Сгенерируйте-ка пожалуйста для начала подложный сертификат для опеннета.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Аноним (??) on 14-Мрт-16, 00:58 
https://www.opennet.dev/opennews/art.shtml?num=35754
https://www.opennet.dev/opennews/art.shtml?num=38613

Пара примеров из недавнего. Поздравляю с обосрамс.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +1 +/
Сообщение от Нимано on 14-Мрт-16, 03:20 
> https://www.opennet.dev/opennews/art.shtml?num=35754
> https://www.opennet.dev/opennews/art.shtml?num=38613

Ну, если вы доверяете TurkTrust и французкой недо-АНБ,  не слышали о пиннинге и о том, что корневые сертификаты от СА вообще не обязательны  (да тот же … ну дык, кто же вам тогда Злобный Буратино?

> Пара примеров из недавнего. Поздравляю с обосрамс.

Все еще с нетерпением жду подложный сертификат для опеннета! Я надеюсь на вас!

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

12. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 16:02 
как так угоняются? куда?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –4 +/
Сообщение от Меломан1 on 13-Мрт-16, 17:23 
> как так угоняются? куда?

Когда твой трафик проходит через выходной узел владелец этого компьютера может его перехватывать и при наличии определенных возможностей скомпрометировать.  


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 20:19 
что он перехватит? и почему этого не сделает один из промежуточных узлов или узел входа?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Аноним (??) on 13-Мрт-16, 20:51 
> что он перехватит? и почему этого не сделает один из промежуточных узлов
> или узел входа?

Выходной узел выпускает траффик в обычный интернет, снимая последний слой шифрования. Если протокол интернета не использовал шифрование, выходной узел может читать то что передавалось. Промежуточные не могут: шифрование tor мешает. Этой проблемы нет в случае hidden service, когда траффик не покидает сеть tor.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –3 +/
Сообщение от Меломан1 on 13-Мрт-16, 21:42 
> что он перехватит? и почему этого не сделает один из промежуточных узлов
> или узел входа?

логины, пароли и многое другое. Внутренняя сеть тор зашифрована поэтому только на выходе в интернет можно перехватить трафик.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

10. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 13-Мрт-16, 15:20 
>не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе,
>графическое окружение основано на GNOME 3.

угу угу

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +3 +/
Сообщение от pavlinux (ok) on 13-Мрт-16, 22:16 
> качестве основы используется пакетная база Debian GNU/Linux.

Exim есть? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Омоним on 13-Мрт-16, 23:00 
Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть только те процессы, которым я лично разрешил...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Led (ok) on 13-Мрт-16, 23:05 
> Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть
> только те процессы, которым я лично разрешил...

man apparmor

или жди дальше...

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –3 +/
Сообщение от Аноним (??) on 13-Мрт-16, 23:23 
лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес могёт
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

44. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +1 +/
Сообщение от Онаним on 14-Мрт-16, 07:38 
> лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес
> могёт

И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться от него блокировки доступа конкретного приложения в Интернет мне так и не удалось.

Голый иптаблес давно уже не могёт. Мог, кажется, в ядре 2.4.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

51. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Led (ok) on 14-Мрт-16, 23:00 
> И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться
> от него блокировки доступа конкретного приложения в Интернет мне так и
> не удалось.

Ведузятник должен страдать.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

43. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –1 +/
Сообщение от Онаним on 14-Мрт-16, 07:35 
Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная гуёвина) и разрешил её всё кроме доступа в сеть. И таки она вообще перестала запускаться. Как ни крутил, в терминале ругается на переменную $DISPLAY, кажется. Если просто вырубить сеть физически - работает норм, под виндой она же если заблокировать фаерволом (коих там, благо, множество - в этом огромный плюс винды) тоже прекрасно пашет.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

50. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Led (ok) on 14-Мрт-16, 23:00 
> Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная
> гуёвина) и разрешил её всё кроме доступа в сеть. И таки
> она вообще перестала запускаться.

Ведузоед должен страдать.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

34. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –2 +/
Сообщение от Аноним (??) on 14-Мрт-16, 00:59 
Gentoo / LFS уже есть добрый десяток лет. Жди дальше.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от pavlinux (ok) on 14-Мрт-16, 01:00 
как два байта об асфальт - rm -f /usr/bin/bad_binarnik
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 14-Мрт-16, 02:30 
У меня torbrowser с policeman работает, а тут вообще вся система по такому принципу работает.
Интересно :)
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

46. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от SunXE (ok) on 14-Мрт-16, 11:04 
Firewalld умеет.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

47. "Началось тестирование ОС Subgraph, использующей контейнерную..."  –2 +/
Сообщение от DmA (??) on 14-Мрт-16, 13:24 
На Винде сиди, там есть начиная с Висты  брандмауэр в режиме повышенной безопасности, который может все исходящие соединения зарубить, а потом разрежи только те программы, которым нужен по твоему мнению доступ в сеть.
А есть ещё AppLock, которым можно запретить запускать все приложения-экзешники, кроме разрешённых. Если эти обе эти две вещи настроить, то можно антивирусы отключить и жить спокойно, пока жёсткий диск не откажет :)
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

52. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Led (ok) on 14-Мрт-16, 23:02 
Ну вот! Кто как не pussy.exe'шник поможе барту-вендузоеду?!
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

53. "Началось тестирование ОС Subgraph, использующей контейнерную..."  +/
Сообщение от Аноним (??) on 17-Мрт-16, 10:25 
Жду новый торЪ, сказали же скоро будет со хорошо стоячим крипто и хитронодами)))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру