私はちょうどPuppy Linuxを使って数時間を費やして本当に素晴らしい機能を持っていますが、セキュリティアプローチ(少なくともデフォルト設定)に関して心配するいくつかのことがあります。
- それを使用する意図された方法は、すべてをrootとして実行するようです。
- ルートにはパスワードはありません(デフォルトではパスワードを追加できます)
- 私が知っている限り、パッケージのセキュリティ更新プログラムを取得する自動化(または単純な非自動化)方法はありません。 (私が逃した部分があるかもしれません。)
私は、管理者/ルートでインターネットを閲覧することなく複雑なパスワードを持つことの重要性と、最新の脆弱性パッチでシステムソフトウェア(およびブラウザとプラグイン)を最新の状態に保つことの重要性を強調してきました。しかし、上記のように、これは私にとっては災害のように見えますが、Puppyは多くのスピンオフを生成するのに人気があるため、明らかなセキュリティの欠如は場合によっては間違いなく問題ではありません。これらは何ですか?
答え1
Puppyは愛好家のためのおもちゃのディストリビューションです。これは、Puppyの(不足している)セキュリティモデルが妥当である唯一のシナリオです。
情報セキュリティを研究する機関は、観察された侵入統計に基づいて緩和戦略を発表します。オーストラリア政府のリストは次のとおりです。
http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm
彼らはこの4つの戦略に従い、侵入の85%を防ぐことができると推定しています。これらの戦略は次のとおりです。
パッチ適用PDFビューア、Flash Player、Microsoft Office、Javaなどがあります。 2日以内に高リスクの脆弱性を修正または軽減します。最新バージョンのアプリケーションを使用してください。
オペレーティングシステムの脆弱性をパッチします。2日以内に高リスクの脆弱性を修正または軽減します。最新のオペレーティングシステムのバージョンを使用してください。
ドメインまたはローカルの管理権限を持つユーザーの数を最小限に抑えます。これらのユーザーは、電子メールを送信してWebを閲覧するために、権限のない別々のアカウントを使用する必要があります。
アプリケーションホワイトリストMicrosoftソフトウェア制限ポリシーやAppLockerなどを使用して、マルウェアやその他の不正プログラムが実行されないようにします。
子犬はこれらすべての分野で失敗します。 Fedora、OpenSUSE、Debianなどの重要なディストリビューション遠くより安全です。これらのディストリビューションには、すべてのタイムリーなセキュリティパッチを提供し、AppArmorおよび/またはSELinuxを介してアプリケーションホワイトリストを提供するアクティブなセキュリティメーリングリストがあり、もちろんすべてをrootとして実行するわけではありません(正直なところ、何ですか?)。
安全を重視する場合は、Puppyを深刻な用途に使用しないでください。
答え2
標準、「深刻な」Linuxパラダイムできる間違ったセキュリティセンスを提供し、アクセスが拒否されると、時々非常に失望する可能性があります(誰のコンピュータですか?)。したがって、多くのアプリケーションはwwwに接続されていても「root」として実行する必要があります。しかし、私は意図的に「過度にセキュリティを設定した」Debianベースのインストールをクラックするために「ライブ」Puppyを使用しました。私はまた〜100%ASMで書かれており、いわゆる「防御」を認識していないKolibriOS(「Hummingbird OS」)でも同じことをしました。たとえば、ext4でフォーマットされた外部記憶媒体では、「lost&found」フォルダはほとんどのLinuxenにロックされていますが、Puppyにはロックされていません。
とにかく(私が知っている限り)攻撃/汚染ベクトル/アプリケーションに最も脆弱なWebブラウザは通常「root」として実行されません。セキュリティのために、強力なBleachBitクリーナーを忘れずに、プライベートブラウジングモードのhttpsとファイアウォールとWebブラウザファイアウォール(トップ)があります。
アップデートの欠如に関する私の経験によると、MSWは常にアップデート/パッチされますが、明らかにすべてのシステムの中で最も安全ではありません。継続的なパッチを適用したLinuxenの場合、LTS Linuxenへのアップデートは約1週間以内に中止されます。したがって、Puppyの相対的な更新不足(バージョンによって異なります)は、誤った焦点領域であり、深刻な悩みの領域である可能性があります。私もう少し分かるまで。
Puppyの重要なセキュリティ機能は、(「節約型」インストールではこれが優先/推奨されます)、各セッションを標準ファイルまたは一意のファイルに保存または保存しない可能性があるため、「カスタム」セッションを特定の目的で実行できることです。 、「通常の」使用に戻るには、ログアウト/ログインが必要です。特定の目的に限定されたユーザーアカウントを追加することもできます。きちんとしたインストールが事実上「ライブ」システムであることを考えると、Puppyが正しく使用されている場合は、実際には「通常の」Linuxenよりも安全です。
引用:
http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM
http://www.murga-linux.com/puppy/viewtopic.php?t=18639
最後に、登録が必要なフォーラムには絶対に参加しないで、常に「ゴースト」Eメールアドレスを使用してください。
答え3
前述のように、Puppyは他のセキュリティモデル(または必要に応じて異なるパラダイム)を使用しているため、実際の世界で経験的に判断する必要があります。私の経験は次のようにまとめることができます。
- Debian: ハッキングされました。アプリケーションはホームを呼び出します。
- スラックウェア:ハッキングされました。
- アーチ:ハッキングされていない限り、十分に長い間安定していませんでした。
- Windows XP:Microsoftに登録した後、イーサネットドライバをアンインストールしました。 「そんな言った。
- OpenBSD: ハッキングされました。はい、わかりました。
- DragonFlyBSD: まったく実行された場合、侵入したことはありません。
- FreeBSD:これまではとても良いです。 PFを使用してください。 8ヶ月未満使用しました。
- 子犬:6年間、一度もハッキングされたことがありません。いいえ。シンプルさと信頼性が必要な場合は、まだデフォルトのディストリビューションです。
繰り返しますが、Puppyは多くの人が本質的に安全だと思う他のモデルを使用しています。これを伝統的なUnix、Windows、または______と比較することは、リンゴをオレンジと比較するのと同じです。
答え4
アセンブリからプログラミングまで、何十もの言語でプログラムされた30年以上の経験Oracleデータベース管理、私は何も見つかりません子犬Linux。
すべてのUnix / Linuxシステムと同様に、Puppy Linuxセキュリティは、ほとんどの人に精通しているMicrosoftセキュリティとは大きく異なります。マイクロソフトの観点から見ると、他の回答で表現された非難は完全に理解できますが、他のセキュリティ方法に対する理解の欠如に由来します。
通常、Microsoft Windows オペレーティング システムは、明示的に拒否されない限り、すべてのコンテンツへのすべてのアクセス権を想定しています。 Unix / Linuxでは、明示的に許可されていない限り何もアクセスできないと想定しています。これは、不正アクセスを防ぐのに大いに役立ちます。
* Knicksroot
ユーザーにはフルアクセス権が付与されます。最大root
実行権限フラグが設定されていないファイルを実行したり、他のホストに接続するなどの操作を実行することがしばしばブロックされることがありますが、すべてSSHパスワードや所定の鍵共有は必要ありません。
「基本」Linuxとは異なり、Puppy Linuxは次のように最適化されています。シングルユーザー環境。単一のユーザーがroot
システムを完全に制御できるため、侵入者から保護されます。複数のユーザーに対応する必要がある場合は、他のいくつかの優れたLinuxディストリビューションの1つをお試しください。
子犬Linuxの使い方同盟/オブスタックファイルシステムは、最近変更されたすべてのファイルを読み取り専用レイヤーに保存します。これは、システム全体を既知の良好な状態に簡単に復元できるようにする「元に戻す」機能を提供します。最後の手段として、分散ソースシステムは下位読み取り専用レイヤーに残り、上位レイヤーに続く変更を維持しながら再起動できます。
ほとんど議論されていませんが、頻繁なソフトウェアパッチは毎日の剣です。新しいバージョンは常に現在のハードウェアに適応する必要があり、これは以前のソフトウェアとハードウェアとの相互運用性に欠陥があることがよくあります。だから維持し続けたいなら何もない最新の状態なので維持する必要があります。すべて最新情報。個人的には、私は破損したすべてを修正するのに数時間かかることがないデスクトップシステムでマルチパッケージアップグレードを実行したことはありません。したがって、必要に応じて、以前のバージョンに「ロールバック」できるように徐々にアップグレードし、新しいディストリビューションを別のパーティションにインストールする傾向があります。
専用のWebサーバーは攻撃者が簡単にアクセスできるため、完全に最新の状態に保つことをお勧めします。それにもかかわらず、ルート以外の人がこれらのシステムにSSHで接続できるようにすることは意味がありません。これは攻撃面を制限する。実際、これらのシステムへのすべてのアップデートにはrootアクセスが必要です。rootとしてログインすると、root以外のユーザーとしてログインしたときに隠されている可能性がある悪意のある異常とソフトウェアの欠陥を特定できます。
すべてのLinuxディストリビューションには、システムのセキュリティを維持するために使用できる大規模ユーティリティツールボックスが付属しています。ほとんどはCで書かれているので、非常に小さく、信頼性のために時間テストされています。したがって、低電力、低資源システムで効率的に実行することができる。
Puppy Linuxは、主にプログラマー、システム管理者、アナリストが次のような日常的なコンピューティングニーズに使用します。
- 複数のコンピュータ/ユーザーから同時に数十のウェブサイトにアクセスできます。
- 発明されたほとんどすべての言語でソフトウェアを開発します。
- ソフトウェア構成の無制限の順列と組み合わせを試してください。
- ...ここで質問に答えている間、電子メールとソーシャルメディアも確認できます。
root以外のユーザーとしてブラウザを実行するのが良い例です。必要に応じて、この目的のためにユーザーログインを作成することは、他のLinuxと同様にPuppyでも同じです。