Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
5 октября 2018 года
Агентство национальной кибербезопасности Франции опубликовало исходные тексты проекта CLIP OS, в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты в основном под свободной лицензией LGPLv2.1+.
В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.
Исполняемые и системные файлы в дистрибутиве отделены от изменяемых данных (корневой раздел монтируется в режиме только для чтения, а изменяемые каталоги выборочно подключаются при помощи bind-монтирования). Также применяется многоуровневая система доступа, разграничивающая обработку информации с разными уровнями конфиденциальности. Разделение осуществляется путём поддержания разных окружений, выполняемых в изолированных контейнерах, используя подход, напоминающий Qubes OS и Subgraph OS.
Прямое взаимодействие между окружениями запрещено. Каждый контейнер имеет доступ только к разрешённому набору данных и ограничен доступном только к необходимым системным вызовам. Для дополнительной изоляции контейнеров применяются патчи от проекта Landlock. Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы. Графическое окружение построено на основе композитного сервера на базе Wayland. Для дополнительной изоляции отдельных приложений также предлагается использовать Flatpak.
Загружаемые компоненты ОС и модули ядра верифицируются по цифровой подписи с использованием загрузки в режиме UEFI Secure Boot. Дополнительно в дистрибутиве организована проверка целостности файлов и связанных с ними метаданных по базе предварительно вычисленных хэшей. Целостность корневого раздела проверяется при помощи подсистемы DM-Verity. Обновление производится в атомарном режиме путём замены корневого раздела (новая версия копируется в запасной раздел, который затем делается активным, старый вариант остаётся для следующего обновления и может применяться для отката изменений).
Администратор имеет ограниченные права и не может скомпрометировать уже установленную систему и не имеет доступа к данным пользователей. Доступ администратора ограничен возможностью изменения только определённого набора настроек и файлов конфигурации. На разделах с данными применяется шифрование и верификация целостности (LUKS2, DM-Crypt и DM-Integrity). Опционально возможно шифрование и системных разделов.
Пользователь не может запустить произвольный исполняемый файл - запуск исполняемого кода и скриптов ограничен только разрешёнными компонентами (используется патч O_MAYEXEC). По умолчанию для защиты процессов применяется механизм защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение (код может быть исполнен только после запрещения записи, а запись возможна только после запрета исполнения).
Предоставлены инструменты для верифицированной сборки установочных образов из исходных текстов. Готовые установочные сборки не формируются, вместо них по аналогии с Gentoo предлагается собирать пакеты из исходных текстов. Процесс сборки повторяем, т.е. можно убедиться, что используемые исполняемые файлы собраны именно из имеющихся исходных текстов.
Для установки приложений используются портеджи Gentoo, но также развивается прослойка для поддержки src-пакетов из репозиториев Debian. По умолчанию при сборке портеджей включаются все доступные опции для повышения безопасности на этапе сборки (сборка в виде PIE, режимы защиты от переполнения стека и проверки границ буферов). В дистрибутиве также задействованы патчи для усиления безопасности ядра Linux и активированы MAC-расширения SELinux.
Дополнительно можно отметить, что сегодня исполнилось ровно 19 лет с момента основания проекта Gentoo Linux.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
