Debian est-elle la référence en matière de sécurité Linux?

Debian est-elle la référence en matière de sécurité Linux?

La sécurité est une priorité importante pour tous les utilisateurs, même ceux qui utilisent Linux comme système d'exploitation préféré. Un rédacteur s'est demandé dans un fil de discussion récent si Debian devait être considérée comme l'étalon-or de la sécurité Linux.

ZombieWithLasers a commencé la discussion avec ces observations et questions:

J'ai remarqué que Debian a tendance à beaucoup parler de sécurité sous Linux. Cela semble être la distribution par excellence lorsque quiconque parle de sécurité et de confidentialité. De nombreuses distributions de chapeau blanc et de sécurité l'utilisent comme base, y compris Kali et Tails. L'EFF l'a recommandé à plusieurs reprises, et il a même été remercié dans le générique de Citizen Four. Est-ce vraiment beaucoup plus sécurisé que les autres distributions?

Je comprends qu'il y ait des inquiétudes concernant les distributions d'entreprise comme RHEL, SUSE et Ubuntu, même si ces préoccupations ne sont pas fondées. La communauté open source / FLOSS a toujours eu une certaine méfiance à l'égard des entreprises. Qu'en est-il des distributions comme Arch, Gentoo et Slackware? Arch est même membre du même organisme à but non lucratif que Debian.

Il existe également d'autres considérations, comme GRSecurity et Systemd. Selon la plupart des comptes, GRSecurity est meilleur que SELinux, mais il n'est vraiment proposé que par Gentoo et Arch dans leurs référentiels principaux. Pourquoi n'ont-ils pas une réputation de sécurité supplémentaire pour cela? Systemd est un problème plus compliqué. Les opinions vont du fait qu'il soit beaucoup plus sûr que les solutions init précédentes à celui qu'il soit produit par la NSA elle-même pour créer des vulnérabilités dans Linux. Le problème vérifiable que je vois est la taille de celui-ci. Il est bien connu que plus le logiciel est petit et complexe, moins il y a de chances que des bogues étranges et des vulnérabilités apparaissent. Sur ce, il semblerait que les alternatives plus légères aient un léger avantage en matière de sécurité. Encore une fois, cela va en faveur des distributions comme Gentoo, Void et Slackware.

Alors qu'en est-il de Debian? Est-ce la seule réputation? Est-ce parce qu'ils travaillent bien avec la communauté et des organisations comme la FSF? Est-ce plus un problème que Debian est plus facile à recommander? Je ne recommanderais certainement pas Gentoo à un nouvel utilisateur et je m'attends à ce qu'il soit sécurisé. Je suis honnêtement curieux. Y a-t-il un facteur X secret que Debian a qui me manque? Est-ce vraiment la référence en matière de sécurité Linux?

Plus sur Reddit

Ses collègues rédacteurs Linux ont répondu avec leurs réflexions sur Debian et la sécurité:

Daemonpenguin : «Je ne pense pas avoir entendu dire que Debian était particulièrement douée pour la sécurité. Non pas que Debian soit mauvais dans ce domaine, mais je n'ai jamais vu personne choisir d'utiliser Debian à cause d'une fonctionnalité de sécurité. Je n'ai jamais entendu non plus que Debian jouissait d'une excellente réputation en matière de sécurité.

Je pense que l'OP examine les distributions axées sur la sécurité, car elles sont basées sur Debian et en supposant que c'est parce que Debian est ultra sécurisée. Ce n'est probablement pas le cas. Des projets comme Tails et Kali utilisent probablement Debian comme base car il est relativement facile de repousser Debian. Debian en fait une base très stable et ouverte. Il est facile d'étendre et de personnaliser Debian et de nombreux exemples à suivre.

Donc Tails est probablement basé sur Debian en raison de la facilité de travailler avec Debian en tant que plate-forme, pas parce qu'il a des fonctionnalités de sécurité spéciales.

Des choses comme les groupes de contrôle (systemd) et SELinux sont un sujet complètement différent et peuvent être utilisés avec à peu près n'importe quelle distribution. »

Silvernostrils : «Vous n'avez jamais défini la sécurité, vous pouvez« pirater »un circuit de bascule avec une impulsion chronométrée et le faire flop-flip, cela signifie-t-il qu'il n'est pas sûr? Je veux dire contre qui / quoi voulez-vous pour vous protéger.

La complexité et l'échelle ne sont pas non plus les seuls facteurs, le taux de changement et les ressources disponibles le sont également. Si vous avez plus d'oeil sur le code ou des modifications plus lentes et donc plus de temps pour regarder le code, vous réduisez également le risque d'erreurs.

Si vous réduisez la complexité et l'échelle, vous pouvez obtenir un effet de rebond où les ressources libérées ne sont pas dépensées pour une meilleure qualité de code ou plus de révision de code, mais pour des itérations plus rapides. Je ne sais pas si vous n'allez pas simplement accélérer la course, avez-vous l'intention de distancer vos adversaires?

De plus, je ne suis pas sûr des fuzzers ou des attaques à IA étroite, et de ce qui est plus difficile à digérer pour ceux-ci. Et si nous ne finirons pas par avoir un code de concours de canalisations par des mesures de défense toujours plus élaborées et coûteuses. Quelle puissance de calcul sommes-nous prêts à sacrifier? Cela va-t-il être une bataille économique?

Debian a toujours été très prudente / délibérée, très stable et très digne de confiance, et elle est comparativement facile à utiliser pour la sécurité qu'elle fournit. De plus, la communauté est grande, il est donc plus probable que quelqu'un remarque des manigances.

Si vous regardez SEL vs GR, il y a aussi l'élan et le coût de la transition, si je passe de SEL à GR, il y aura un laps de temps où mon manque d'expérience dans la configuration de GR entraînera une baisse temporaire de la sécurité. "

Tscs37 : «En termes de surface d'attaque, vous pourriez considérer Alpine Linux comme étant« le plus sécurisé »par défaut, car il a fondamentalement une surface d'attaque inexistante en plus d'utiliser un noyau renforcé et des outils par défaut.

Par contre, aucune distribution n'est vraiment «sécurisée» par défaut. Ils sont tous vulnérables aux attaques d'une manière ou d'une autre, le mieux que vous puissiez faire est d'en choisir un avec lequel vous êtes à l'aise, d'installer un noyau renforcé, de rester à jour sur les CVE et de garder la tête en dessous de la ligne de tir.

Boomboomsubban : «Il maintient une base stable et travaille dur pour rétroporter les correctifs de sécurité, les mises à jour présentent des risques potentiels qu'ils essaient d'attendre. GRsecurity est utilisable sur Debian, le noyau patché est dans les dépôts et vous pouvez le compiler vous-même si vous le souhaitez. Et leur processus de prise de décision est incroyablement transparent, ce qui réconforte les gens au moins. »

Jijfjeunsisheumeu : «La sécurité Debian est un problème pour de nombreuses raisons, allant de l'utilisation de la glibc à l'utilisation d'une chaîne d'outils non renforcée, au simple fait qu'il y ait eu plusieurs cas où la politique agressive de Debian de patcher et de forger des paquets a créé des vulnérabilités de sécurité. n'existe pas en amont.

Ce dernier est un très gros problème, sauf si c'est absolument nécessaire, s'écarter de l'amont est un cauchemar de sécurité où vous ne savez plus quelles vulnérabilités peuvent ou peuvent avoir. Si un correctif critique doit être présent, il doit s'agir d'un backport d'un correctif en amont.

Si vous voulez utiliser un noyau Linux et voulez la sécurité, vraiment, allez Hardened Gentoo, il n'y a pas de concurrent. Oui, vous pouvez obtenir une chose similaire sur Debian en recompilant vous-même votre système avec des indicateurs renforcés, mais le gestionnaire de paquets ne vous sera d'aucune utilité. »

Cbmuser : «Debian travaille constamment sur le durcissement. L'étape suivante consiste à activer -fPIE par défaut et à utiliser une image de noyau signée. Nous faisons du durcissement depuis un bon moment maintenant.

De plus, contrairement à Gentoo, nous sommes déjà passés à gcc – 6 et avons des mainteneurs professionnels pour la chaîne d'outils, la glibc et le noyau (payés par les entreprises).

Debian a des versions reproductibles et est largement utilisé sur les interwebs et pris en charge par des sociétés comme Bytemark et HP Enterprise.

Vous êtes mal informé.

Twiggy99999 : «Si vous lisez Internet (je le fais), chaque distribution est la plus sécurisée, le fait est qu'avec Linux, la distribution choisie par tout le monde est la meilleure et toutes les autres« craquent mec ». Dans le cas contraire, ils sont corrects, chaque distribution pourrait être la plus sécurisée en fonction de la façon dont elle a été configurée, de ce qui est installé en standard, etc. distro mais il y a aussi des choses que vous pouvez faire pour la rendre beaucoup plus sûre. Je ne pense vraiment pas qu’il y ait une bonne ou une mauvaise réponse ici. »

Passthejoe : «J'utilise Fedora parce que vous pouvez facilement crypter une installation Linux complète qui est installée en tant que système à double démarrage avec Windows. Debian n'autorise facilement le chiffrement complet que s'il s'agit du seul SO sur le lecteur.

Je dis «facilement» parce que je suis sûr que c'est possible de faire ces choses dans l'installateur Debian, mais c'est probablement super hackish et pas facile.

Cela dit, faire une installation Debian entièrement chiffrée alors qu'il s'agit du seul système d'exploitation est très facile, et c'est une excellente chose qui fait de Debian un excellent choix pour les personnes soucieuses de leur sécurité. »

Ilikerackmounts : «Gentoo de par la nature d'avoir des indicateurs de compilateur variables peut le rendre moins sensible au chaînage ROP (mais certainement mais à l'épreuve des balles). Il avait également un profil durci avec des drapeaux d'utilisation durcis. Cependant, je dirais qu'une distribution qui au moins tente de se durcir serait centos / fedora / rhel avec des profils selinux configurés prêts à l'emploi.

Cela étant dit, il y a eu un certain nombre de snafus humiliants pour toutes les distributions pour empêcher la prétention audacieuse d'être axée sur la sécurité, la dernière étant des vulnérabilités au sein des gestionnaires de paquets.

Plus sur Reddit

DistroWatch critique Apricity OS 07.2016

Apricity OS est une distribution basée sur Arch Linux qui offre le navigateur spécifique au site ICE. ICE facilite l'intégration des applications Web dans l'expérience de bureau. DistroWatch a un examen complet d'Apricity OS 07.2016.

Jesse Smith rapporte pour DistroWatch:

J'hésite à faire des déclarations radicales sur Apricity, ses forces et ses faiblesses car je n'ai pu utiliser ma copie installée du système d'exploitation que dans une capacité limitée. Presque tout mon bref temps avec la distribution a été passé à l'exécuter à partir d'un disque live. Cela étant dit, bien que ma copie installée d'Apricity ne me donne pas de session de bureau, la plupart de ce que j'ai vécu cette semaine m'a plu.

Apricity avait des caractéristiques que je n'aimais pas. Les bordures de fenêtre indistinctes n'étaient pas idéales, mais il est possible de changer le thème et d'expérimenter différents styles de bureau. Je n'aime pas utiliser le lecteur multimédia Totem, mais il y en a beaucoup d'autres parmi lesquels choisir dans les référentiels.

J'aime le fait qu'Apricity soit livré avec beaucoup de logiciels sans trop de duplication. Il y a généralement un programme disponible par tâche et la distribution couvre un grand nombre de tâches. Tout, du jeu avec Steam à une suite de productivité en passant par les codecs multimédias, est inclus. Un nouvel utilisateur peut se lancer dans à peu près tout autre que le montage vidéo avec les applications par défaut disponibles. J'ai particulièrement aimé que Syncthing ait été installé car c'est un outil que j'espère voir plus répandu, à la fois pour la configuration de sauvegardes et pour le partage de fichiers.

Dans l'ensemble, j'aime ce qu'Apricity essaie de faire. Le projet est relativement nouveau et prend un bon départ. Il y a quelques aspérités, mais pas beaucoup et je pense que la distribution plaira à beaucoup de gens, en particulier à ceux qui veulent exécuter un système d'exploitation à version continue avec une configuration initiale très simple.

Plus sur DistroWatch

10 grandes améliorations dans Android 7.0 Nougat

Android 7.0 Nougat est peut-être la meilleure version d'Android à ce jour. Mais qu'est-ce qui le distingue des versions précédentes du système d'exploitation mobile de Google? Un écrivain de Forbes a une liste de dix grandes améliorations dans Android 7.0 Nougat.

Shelby Carpenter rapporte pour Forbes:

Android 7.0 Nougat est là pour la majorité des propriétaires de Nexus et sera déployé tout au long de l'année prochaine pour d'autres appareils Android. Nougat (également connu sous le nom d'Android N) est livré avec un certain nombre de grands changements par rapport à Marshmallow, le dernier système d'exploitation Android. Avant de télécharger, voici quelques-unes des nouvelles fonctionnalités les plus importantes à prévoir:

1. Meilleure durée de vie de la batterie

2. Notifications repensées

3. Utilisation de l'écran partagé

4. Nouvelle utilisation du bouton de présentation

5. De meilleurs bascules

6. Menu des paramètres remanié

7. Chiffrement basé sur les fichiers

8. Mises à jour système plus rapides

9. Démarrage direct

10. Économiseur de données

Plus à Forbes

Avez-vous manqué une rafle? Consultez la page d'accueil d'Eye On Open pour vous tenir au courant des dernières nouvelles sur l'open source et Linux .