Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе

13.03.2016 14:33

После двух лет разработки доступен первый альфа-выпуск проекта Subgraph OS, в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Для загрузки доступен iso-образ размером 1.5 Гб.

Разработчики Subgraph не считают, что ценой высокой безопасности должны быть ограничения и неудобства в работе, и пытаются предоставить максимально простое и удобное для конечных пользователей решение. Базовое графическое окружение основано на GNOME 3. В качестве почтового клиента предлагается Subgraph Mail, написанный с нуля с оглядкой на предоставление встроенной поддержки безопасных коммуникаций, идентификации отправителя и проверки сообщений по цифровой подписи (используется встроенная реализация OpenPGP). В качестве браузера применяется Tor Browser. Для мгновенного обмена сообщениями используется CoyIM c поддержкой "end-to-end"-шифрования при помощи OTR (Off-the-Record).

Все сетевые запросы приложений по умолчанию перехватываютя компонентом Metaproxy и принудительно отправляются только через сеть Tor, за исключением случаев подключения к порталу аутентификации беспроводной сети (captive portal). Доступ к сети осуществляется на основе белого списка, в который включены приложения, которым разрешена сетевая активность по определённым сетевым портам. Трафик разных приложений отправляется через разные цепочки узлов Tor. При попытке инициирования исходящего сетевого соединения, не предусмотренного разрешёнными правилами, через задействование динамического межсетевого экрана пользователю выводится диалог с предложением подтвердить или отклонить операцию.

Для изоляции приложений применяется технология sandbox-контейнеров oz, в которой для изоляции применяются пространства имён, Seccomp filter, Capabilities и прослойка Xpra, изолирующая приложение от X-сервера (подобие screen для X11). Для приложений ограничивается доступ к пользовательским файлам, устройствам, рабочему столу (открыт доступ только в своё окно), другим процессам, системным вызовам, полностью контролируются обращения по сети.

Ядро Linux собрано с патчами Grsecurity/PaX. Содержимое файловых систем хранится в зашифрованном виде (dm-crypt/LUKS). Компоненты дистрибутива написаны на языке Go, который предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти. В качестве основы используется пакетная база Debian GNU/Linux. При формировании дистрибутива применяется контроль целостности бинарных пакетов и специальный верифицированный процесс сборки, обеспечивающий повторяемость сборок (пересборка пользователем приведёт к формированию полностью совпадающих исполняемых файлов).

По сравнению с системой Qubes, использующей полноценные механизмы виртуализации для изоляции разных типов приложений, применение контейнеров позволило значительно снизить требования к имеющимся ресурсам, для работы Subgraph требуется 64-разрядный CPU Core2Duo (или новее), 2 Гб ОЗУ (рекомендуется 4 Гб) и 20 Гб места на диске. При этом, в Twitter (@rootkovska, @attractr, @subgraph) и списке рассылки ведутся переговоры о сотрудничестве проектов Subgraph OS и Qubes, в рамках которого для Qubes в ближайшее время может быть подготовлен образ VM с Subgraph.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44035-subgraph

Ключевые слова: subgraph, container, virtual

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (45)

1.1, Аноним (-), 14:36, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
>платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах шо, опять?

2.2, Аноним (-), 14:38, 13/03/2016 [^] [^^] [^^^] [ответить]	+11 +/–
Конкуренция не помешает. Пусть будет.

3.26, Аноним (-), 22:14, 13/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть каждой программе по своему IP и Tor, не говоря уж о правилах файрвола. Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если вы их все в контейнер перекинете.

4.48, SysA (?), 15:04, 14/03/2016 [^] [^^] [^^^] [ответить]

+/–

> А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть
> каждой программе по своему IP и Tor, не говоря уж о
> правилах файрвола.
> Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если
> вы их все в контейнер перекинете.

systemd-nspawn? ;)

А как вы об'едините картинку от разных контайнеров на общем десктопе?

2.6, Аноним (-), 14:52, 13/03/2016 [^] [^^] [^^^] [ответить]	–8 +/–
Нынче это прибыльно. Школота из года в год тупее и тупее. Вишь, даже кэртинкэ нарисовали насколько все крутэ :)

3.13, Аноним (-), 16:49, 13/03/2016 [^] [^^] [^^^] [ответить]

+/–

> Вишь, даже кэртинкэ нарисовали насколько все крутэ :)

Пиксель-арт?
http://www.listoid.com/image/100/list_59_100_20101124_090212_388.png
http://fool.deviantart.com/art/iso-castle-75849130
http://www.listoid.com/image/100/list_3_100_20101124_125700_841.gif
https://retroarcadememories.files.wordpress.com/2014/10/marble_m_2.png

Не, не слышал …

4.16, Аноним (-), 17:34, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
Так а может есть какая тулза чтобы в пиксельарте рисовать схемы?

1.3, Аноним (-), 14:44, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
>пытаются предоставить максимально простое и удобное ... решение. >графическое окружение основано на GNOME 3. Взаимоисключающие параграфы?

2.5, Аноним (-), 14:51, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
Они хотели сказать - Максимально примитивное, и удобное с точки зрения его разработки решение.

1.7, Меломан1 (?), 15:05, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам Идея хорошая, только использование Тор не вяжется с этой концепцией. Тор можно использовать только в качестве анонимайзера и к безопасности не имеет никакого отношения, скорее наоборот ведь на выходе все пароли от почты и интернет-банкинга угоняются.

2.8, MPEG LA (ok), 15:10, 13/03/2016 [^] [^^] [^^^] [ответить]	+5 +/–
>ведь на выходе все пароли от почты и интернет-банкинга угоняются. почта и банкинг без https?

3.9, sage (??), 15:18, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
Вот-вот, никогда не понимал этого аргумента.

3.14, Меломан1 (?), 17:11, 13/03/2016 [^] [^^] [^^^] [ответить]

–3 +/–

>>ведь на выходе все пароли от почты и интернет-банкинга угоняются.
> почта и банкинг без https?

MITM

4.17, Аноним (-), 19:57, 13/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
mitm без подмены сертификата? да Вы, батенька, фантазер :)

5.20, Аноним (-), 20:48, 13/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Так CA много разных, а оплошать достаточно одному.

6.22, MPEG LA (ok), 20:53, 13/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> Так CA много разных, а оплошать достаточно одному. тогда при чем тут Tor?

7.28, Аноним (-), 22:26, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
> тогда при чем тут Tor? Сам по себе - не при чем. Но за exit nodes нужен глаз да глаз. Поэтому в ответственных случаях стоит проверять что за сертификат подсунули.

5.23, Меломан1 (?), 21:32, 13/03/2016 [^] [^^] [^^^] [ответить]

–2 +/–

> mitm без подмены сертификата? да Вы, батенька, фантазер :)

mitmproxy генерирует подложный сертификат.

6.25, MPEG LA (ok), 22:08, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
>> mitm без подмены сертификата? да Вы, батенька, фантазер :) > mitmproxy генерирует подложный сертификат. и что? браузер пропускает без вопросов?

7.37, Меломан1 (?), 01:46, 14/03/2016 [^] [^^] [^^^] [ответить]

+/–

>>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
>> mitmproxy генерирует подложный сертификат.
> и что? браузер пропускает без вопросов?

Да, клиенту подсовывается два сертификата, один подложный, а второй от mitmproxy, тогда браузер будет молчать как рыба.

8.42, Нимано (?), 03:29, 14/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Оригинально и весьма ловко Стесняюсь спросить, а не проще ли, учитывая обычные... текст свёрнут, показать

6.29, Аноним (-), 22:33, 13/03/2016 [^] [^^] [^^^] [ответить]

+2 +/–

>> mitm без подмены сертификата? да Вы, батенька, фантазер :)
> mitmproxy генерирует подложный сертификат.

Сгенерируйте-ка пожалуйста для начала подложный сертификат для опеннета.

7.33, Аноним (-), 00:58, 14/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
https://www.opennet.dev/opennews/art.shtml?num=35754 https://www.opennet.dev/opennews/art.shtml?num=38613 Пара примеров из недавнего. Поздравляю с обосрамс.

8.41, Нимано (?), 03:20, 14/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Ну, если вы доверяете TurkTrust и французкой недо-АНБ, не слышали о пиннинге и ... текст свёрнут, показать

2.12, Аноним (-), 16:02, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
как так угоняются? куда?

3.15, Меломан1 (?), 17:23, 13/03/2016 [^] [^^] [^^^] [ответить]

–4 +/–

> как так угоняются? куда?

Когда твой трафик проходит через выходной узел владелец этого компьютера может его перехватывать и при наличии определенных возможностей скомпрометировать.

4.19, Аноним (-), 20:19, 13/03/2016 [^] [^^] [^^^] [ответить]	+/–
что он перехватит? и почему этого не сделает один из промежуточных узлов или узел входа?

5.21, Аноним (-), 20:51, 13/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> что он перехватит? и почему этого не сделает один из промежуточных узлов > или узел входа? Выходной узел выпускает траффик в обычный интернет, снимая последний слой шифрования. Если протокол интернета не использовал шифрование, выходной узел может читать то что передавалось. Промежуточные не могут: шифрование tor мешает. Этой проблемы нет в случае hidden service, когда траффик не покидает сеть tor.

5.24, Меломан1 (?), 21:42, 13/03/2016 [^] [^^] [^^^] [ответить]

–3 +/–

> что он перехватит? и почему этого не сделает один из промежуточных узлов
> или узел входа?

логины, пароли и многое другое. Внутренняя сеть тор зашифрована поэтому только на выходе в интернет можно перехватить трафик.

1.10, Аноним (-), 15:20, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе, >графическое окружение основано на GNOME 3. угу угу

1.27, pavlinux (ok), 22:16, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> качестве основы используется пакетная база Debian GNU/Linux. Exim есть? :)

1.30, Омоним (?), 23:00, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть только те процессы, которым я лично разрешил...

2.31, Led (ok), 23:05, 13/03/2016 [^] [^^] [^^^] [ответить]

–1 +/–

> Юзабельно? Всю жизнь жду такую версию Linux, которая будет выпускать в Сеть
> только те процессы, которым я лично разрешил...

man apparmor

или жди дальше...

3.32, Аноним (-), 23:23, 13/03/2016 [^] [^^] [^^^] [ответить]	–3 +/–
лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес могёт

4.44, Онаним (?), 07:38, 14/03/2016 [^] [^^] [^^^] [ответить]

+1 +/–

> лучше selinux, ибо apparmor — непонятная херня, да впринципе, и голый иптаблес
> могёт

И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться от него блокировки доступа конкретного приложения в Интернет мне так и не удалось.

Голый иптаблес давно уже не могёт. Мог, кажется, в ядре 2.4.

5.51, Led (ok), 23:00, 14/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться > от него блокировки доступа конкретного приложения в Интернет мне так и > не удалось. Ведузятник должен страдать.

3.43, Онаним (?), 07:35, 14/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная гуёвина) и разрешил её всё кроме доступа в сеть. И таки она вообще перестала запускаться. Как ни крутил, в терминале ругается на переменную $DISPLAY, кажется. Если просто вырубить сеть физически - работает норм, под виндой она же если заблокировать фаерволом (коих там, благо, множество - в этом огромный плюс винды) тоже прекрасно пашет.

4.50, Led (ok), 23:00, 14/03/2016 [^] [^^] [^^^] [ответить]	+/–
> Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная > гуёвина) и разрешил её всё кроме доступа в сеть. И таки > она вообще перестала запускаться. Ведузоед должен страдать.

2.34, Аноним (-), 00:59, 14/03/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Gentoo / LFS уже есть добрый десяток лет. Жди дальше.

2.35, pavlinux (ok), 01:00, 14/03/2016 [^] [^^] [^^^] [ответить]	+/–
как два байта об асфальт - rm -f /usr/bin/bad_binarnik

2.39, Аноним (-), 02:30, 14/03/2016 [^] [^^] [^^^] [ответить]	+/–
У меня torbrowser с policeman работает, а тут вообще вся система по такому принципу работает. Интересно :)

2.46, SunXE (ok), 11:04, 14/03/2016 [^] [^^] [^^^] [ответить]	+/–
Firewalld умеет.

2.47, DmA (??), 13:24, 14/03/2016 [^] [^^] [^^^] [ответить]	–2 +/–
На Винде сиди, там есть начиная с Висты брандмауэр в режиме повышенной безопасности, который может все исходящие соединения зарубить, а потом разрежи только те программы, которым нужен по твоему мнению доступ в сеть. А есть ещё AppLock, которым можно запретить запускать все приложения-экзешники, кроме разрешённых. Если эти обе эти две вещи настроить, то можно антивирусы отключить и жить спокойно, пока жёсткий диск не откажет :)

3.52, Led (ok), 23:02, 14/03/2016 [^] [^^] [^^^] [ответить]	+/–
Ну вот! Кто как не pussy.exe'шник поможе барту-вендузоеду?!

1.53, Аноним (-), 10:25, 17/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Жду новый торЪ, сказали же скоро будет со хорошо стоячим крипто и хитронодами)))

игнорирование участников | лог модерирования

Добавить комментарий

Текст: