Subgraph OS 是 Linux 发行版,旨在抵抗 Internet 上复杂的对手的监视和干扰。它基于 Debian Linux。其功能旨在减少操作系统的攻击面,并增加执行某些类型的攻击所需的难度。
Subgraph OS 是 Linux 发行版,旨在抵抗 Internet 上复杂的对手的监视和干扰。它基于 Debian Linux。爱德华·斯诺登(Edward Snowden)提到该操作系统具有未来潜力。
Subgraph OS 被设计为锁定的,其功能旨在减少操作系统的攻击面,并增加执行某些类型的攻击所需的难度。这可以通过系统强化以及对安全性和抗攻击性的持续关注来实现。Subgraph OS 还强调通过确定性编译来确保已安装软件包的完整性。
功能
Subgraph OS 的一些显着功能包括:
- Linux 内核通过 grsecurity 和 PaX 补丁集进行了加固。
- Linux 名称空间和 xpra 用于应用程序包含。
- 使用 LUKS 在安装过程中强制进行文件系统加密。
- 抵抗冷启动攻击。
- 可配置的防火墙规则可自动确保使用 Tor 匿名网络建立已安装应用程序的网络连接。默认设置可确保通过网络上的独立电路传输每个应用程序的通信。
- 用于 OZ 虚拟化客户端的 GNOME Shell 集成,该应用程序在安全的 Linux 容器内运行应用程序,目标是使日常用户易于使用。
安全性
与另一个专注于安全性的操作系统 Qubes(使用虚拟化)相比,Subgraph OS(使用沙箱容器)的安全性受到了质疑。攻击者可以通过操作系统的默认 Nautilus 文件管理器或在终端中诱使 Subgraph 用户运行恶意的未装箱脚本。也可能运行包含.desktop 文件(用于启动应用程序)的恶意代码。恶意软件还可以绕过 Subgraph OS 的应用程序防火墙。同样,通过设计,Subgraph 无法像 Qubes OS 一样隔离网络堆栈,也不能防止不良的 USB 攻击。