Puppy Linux 보안 모델은 언제 의미가 있습니까?

tag-icon tag-icon security puppy-linux
Puppy Linux 보안 모델은 언제 의미가 있습니까?

나는 방금 Puppy Linux를 가지고 몇 시간을 보냈고 정말 멋진 기능을 가지고 있지만 보안 접근 방식(적어도 기본 설정)과 관련하여 걱정되는 몇 가지 사항이 있습니다.

  1. 그것을 사용하려는 의도된 방법은 모든 것을 루트로 실행하는 것 같습니다.
  2. 루트에는 비밀번호가 없습니다(기본적으로 비밀번호를 추가할 수 있습니다)
  3. 내가 아는 한, 패키지에 대한 보안 업데이트를 얻는 자동화된(또는 단순한 비자동화) 방법은 없습니다. (제가 놓친 부분이 있을 수도 있습니다.)

저는 관리자/루트로 인터넷을 탐색하지 않고 복잡한 비밀번호를 갖는 것의 중요성과 최신 취약점 패치로 시스템 소프트웨어(및 브라우저 및 플러그인)를 최신 상태로 유지하는 것의 중요성을 강조해 왔습니다. 그러나 위에서 언급했듯이 이것이 나에게는 재앙처럼 보이지만 Puppy는 많은 스핀오프를 생성할 만큼 인기가 있으므로 명백한 보안 부족은 어떤 경우에는 확실히 문제가 되지 않습니다. 이것들은 무엇입니까?

답변1

Puppy는 매니아를 위한 장난감 배포판입니다. 이는 Puppy의 (부족한) 보안 모델이 타당한 유일한 시나리오입니다.

정보 보안을 연구하는 기관에서는 관찰한 침입 통계를 기반으로 완화 전략을 발표합니다. 호주 정부의 목록은 다음과 같습니다.

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

그들은 이 네 가지 전략을 따르면 침입의 85%를 예방할 수 있다고 추정합니다. 이러한 전략은 다음과 같습니다.

  1. 패치 적용PDF 뷰어, Flash Player, Microsoft Office 및 Java 등이 있습니다. 2일 이내에 고위험 취약점을 패치하거나 완화합니다. 최신 버전의 애플리케이션을 사용하세요.

  2. 운영 체제 취약점을 패치합니다.2일 이내에 고위험 취약점을 패치하거나 완화합니다. 최신 운영 체제 버전을 사용하십시오.

  3. 도메인 또는 로컬 관리 권한이 있는 사용자 수를 최소화합니다.이러한 사용자는 이메일을 보내고 웹을 탐색하기 위해 권한이 없는 별도의 계정을 사용해야 합니다.

  4. 애플리케이션 화이트리스트Microsoft 소프트웨어 제한 정책이나 AppLocker 등을 사용하여 맬웨어 및 기타 승인되지 않은 프로그램이 실행되지 않도록 방지하세요.

강아지는 이 모든 영역에서 실패합니다. Fedora, OpenSUSE, Debian 등과 같은 중요한 배포판멀리더 안전합니다. 이러한 배포판에는 모두 시기적절한 보안 패치를 제공하고 AppArmor 및/또는 SELinux를 통해 애플리케이션 화이트리스트를 제공하는 활성 보안 메일링 목록이 있으며 물론 모든 것을 루트로 실행하지는 않습니다(솔직히 말해서 뭐죠?).

안전을 중시한다면 Puppy를 심각한 용도로 사용하지 마세요.

답변2

표준, "진지한" Linux 패러다임할 수 있는잘못된 보안 감각을 제공하고 액세스가 거부되면 때때로 매우 실망스러울 수 있습니다(누구의 컴퓨터입니까?). 따라서 많은 응용 프로그램은 www에 연결되어 있어도 "루트"로 실행되어야 합니다. 그런데 저는 의도적으로 "과도하게 보안을 설정한" 데비안 기반 설치를 크랙하기 위해 "라이브" Puppy를 사용했습니다. 나는 또한 ~100% ASM으로 작성되었으며 소위 "방어"를 인식하지 못하는 KolibriOS("Hummingbird OS")에서도 동일한 작업을 수행했습니다. 예를 들어, ext4로 포맷된 외부 저장 매체에서 "lost &found" 폴더는 대부분의 Linuxen에 잠겨 있지만 Puppy에는 잠겨 있지 않습니다.

어쨌든 (내가 아는 한) 공격/오염 벡터/응용 프로그램에 가장 취약한 웹 브라우저는 일반적으로 "루트"로 실행되지 않습니다. 보안을 위해 강력한 BleachBit 클리너를 잊지 말고 비공개 브라우징 모드인 https와 방화벽 및 웹 브라우저 방화벽(상단)이 있습니다.

업데이트 부족과 관련하여 내 경험에 따르면 MSW는 지속적으로 업데이트/패치되지만 분명히 모든 시스템 중에서 가장 안전하지 않습니다. 지속적인 패치를 적용한 Linuxen의 경우 LTS Linuxen에 대한 업데이트가 약 1주일 내에 중단됩니다. "; 따라서 Puppy의 상대적인 업데이트 부족(버전에 따라 다름)은 잘못된 초점 영역일 수 있으며 심각한 고민의 영역일 수 있습니다.조금 더 알게 될 때까지.

Puppy의 중요한 보안 기능은 ("절약형" 설치에서는 이것이 선호/권장됨) 각 세션을 표준 파일이나 고유 파일에 저장하거나 저장하지 않을 수 있으므로 "사용자 정의" 세션을 특정 목적으로 실행할 수 있다는 것입니다. , "정상적인" 사용으로 돌아가려면 로그아웃/로그인이 필요합니다. 특정 목적을 위해 제한된 사용자 계정을 추가할 수도 있습니다. 알뜰한 설치가 사실상 "라이브" 시스템이라는 점을 고려하면 Puppy는 올바르게 사용된다면 실제로 "일반" Linuxen보다 더 안전할 수 있습니다.

인용하다:

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

마지막으로, 등록이 필요한 포럼에는 절대로 가입하지 말고 항상 "유령" 이메일 주소를 사용하십시오.

답변3

앞서 언급했듯이 Puppy는 다른 보안 모델(또는 원하는 경우 다른 패러다임)을 사용하므로 실제 세계에서 경험적으로 판단해야 합니다. 내 경험은 다음과 같이 요약될 수 있습니다.

  • 데비안: 해킹당했습니다. 애플리케이션이 홈을 호출합니다.
  • 슬랙웨어: 해킹되었습니다.
  • 아치: 해킹당하지 않고는 충분히 오랫동안 안정적으로 유지되지 않았습니다.
  • Windows XP: Microsoft에 등록한 후 이더넷 드라이버를 제거했습니다. "그런가 말했다.
  • OpenBSD: 해킹되었습니다. 네, 알아요.
  • DragonFlyBSD: 전혀 실행되었다면 침투한 적이 없습니다.
  • FreeBSD: 지금까지는 아주 좋습니다. PF를 사용하세요. 8개월 미만 사용했습니다.
  • 강아지: 6년 동안 한 번도 해킹당한 적이 없어요.안 돼요. 단순성과 안정성이 필요할 때 여전히 기본 배포판입니다.

반복하자면, Puppy는 많은 사람들이 본질적으로 안전하다고 생각하는 다른 모델을 사용합니다. 이를 전통적인 Unix, Windows 또는 ______과 비교하는 것은 사과를 오렌지와 비교하는 것과 같습니다.

답변4

어셈블리부터 프로그래밍까지 수십 가지 언어로 프로그래밍한 30년 이상의 경험오라클 데이터베이스관리, 나는 아무것도 찾을 수 없습니다강아지리눅스.

모든 Unix/Linux 시스템과 마찬가지로 Puppy Linux 보안은 대부분의 사람들에게 익숙한 Microsoft 보안과 매우 다릅니다. Microsoft의 관점에서 볼 때 다른 답변에 표현된 비난은 완전히 이해할 수 있지만 다른 보안 방법에 대한 이해 부족에서 비롯됩니다.

일반적으로 Microsoft Windows 운영 체제는 명시적으로 거부되지 않는 한 모든 콘텐츠에 대한 모든 액세스 권한을 가정합니다. Unix/Linux에서는 명시적으로 허용되지 않는 한 아무 것도 액세스할 수 없다고 가정합니다. 이는 무단 액세스를 방지하는 데 큰 도움이 됩니다.

*Knicks root사용자에게는 전체 액세스 권한이 부여됩니다.최대root실행 권한 플래그가 설정되지 않은 파일을 실행하거나 다른 호스트에 연결하는 등의 작업을 수행하는 것이 종종 차단되는 경우도 있지만 모든 것SSH비밀번호나 미리 정해진 키 공유가 필요하지 않습니다.

"기본" Linux와 달리 Puppy Linux는 다음에 최적화되어 있습니다.단일 사용자환경. 단일 사용자가 root시스템을 완벽하게 제어할 수 있으므로 침입자로부터 더 잘 보호됩니다. 여러 사용자를 수용해야 한다면 다른 여러 우수한 Linux 배포판 중 하나를 사용해 보세요.

강아지 리눅스를 사용하는 방법동맹/오브스택형 파일 시스템은 최근 변경된 모든 파일을 읽기 전용 레이어에 보관합니다. 이는 전체 시스템을 알려진 양호한 상태로 더 쉽게 복원할 수 있게 해주는 "실행 취소" 기능을 제공합니다. 최후의 수단으로 분산 원본 시스템은 하위 읽기 전용 계층에 남아 있으며 상위 계층에 대한 후속 변경 사항을 유지하면서 재부팅할 수 있습니다.

거의 논의되지 않지만 빈번한 소프트웨어 패치는 다날의 검입니다. 새 버전은 항상 현재 하드웨어에 적응해야 하며, 이로 인해 이전 소프트웨어 및 하드웨어와의 상호 운용성에 결함이 발생하는 경우가 많습니다. 그렇기 때문에 계속 유지하고 싶다면아무것최신 상태이므로 유지해야 합니다.모든 것최신 정보. 개인적으로 저는 손상된 모든 것을 수정하는 데 몇 시간이 걸리지 않는 데스크탑 시스템에서 다중 패키지 업그레이드를 수행한 적이 없습니다. 따라서 필요한 경우 이전 버전으로 "롤백"할 수 있도록 점진적으로 업그레이드하고 새 배포판을 별도의 파티션에 설치하는 경향이 있습니다.

전용 웹 서버는 공격자가 쉽게 접근할 수 있으므로 완전히 최신 상태로 유지하는 것이 좋습니다. 그럼에도 불구하고 루트가 아닌 다른 사람이 이러한 시스템에 SSH로 접속하도록 허용하는 것은 의미가 없습니다. 이는 공격 표면을 제한합니다. 실제로 이러한 시스템에 대한 모든 업데이트에는 루트 액세스가 필요하며, 루트로 로그인하면 루트가 아닌 사용자로 로그인한 경우 숨겨져 있을 수 있는 잠재적으로 악의적인 이상 현상과 소프트웨어 결함을 확인할 수 있습니다.

모든 Linux 배포판에는 시스템 보안을 유지하는 데 사용할 수 있는 대규모 유틸리티 도구 상자가 함께 제공됩니다. 대부분은 C로 작성되었으므로 매우 작으며 신뢰성에 대한 시간 테스트를 거쳤습니다. 따라서 저전력, 저자원 시스템에서 효율적으로 실행될 수 있습니다.

Puppy Linux는 주로 프로그래머, 시스템 관리자 및 분석가가 다음과 같은 일상적인 컴퓨팅 요구를 위해 사용합니다.

  • 여러 컴퓨터/사용자에서 동시에 수십 개의 웹사이트에 액세스하세요.
  • 발명된 거의 모든 언어로 소프트웨어를 개발합니다.
  • 소프트웨어 구성의 무제한 순열 및 조합을 실험해 보세요.
  • ...여기서 질문에 답하는 동안 이메일과 소셜 미디어도 확인할 수 있습니다.

루트가 아닌 사용자로 브라우저를 실행하는 것이 좋은 예입니다. 원하는 경우 이 목적을 위해 사용자 로그인을 생성하는 것은 다른 Linux에서와 마찬가지로 Puppy에서도 동일합니다.

관련 정보