Sicherheitsorientiertes Betriebssystem – Wikipedia

before-content-x4

Dies ist eine Liste von Betriebssystemen, die speziell auf Sicherheit ausgerichtet sind. Allzweckbetriebssysteme können in der Praxis sicher sein, ohne speziell “sicherheitsorientiert” zu sein.

Ähnliche Konzepte umfassen sicherheitsbewertete Betriebssysteme, die von einer Prüforganisation zertifiziert wurden, und vertrauenswürdige Betriebssysteme, die ausreichende Unterstützung für mehrstufige Sicherheit und den Nachweis der Korrektheit bieten, um bestimmte Anforderungen zu erfüllen.

Android-basiert[edit]

Debian-basiert[edit]

  • Subgraph ist ein Linux-basiertes Betriebssystem, das so konzipiert ist, dass es gegen Überwachung und Störungen durch hoch entwickelte Gegner über das Internet resistent ist. Subgraph OS wurde mit Funktionen entwickelt, die darauf abzielen, die Angriffsfläche des Betriebssystems zu verringern und die Schwierigkeit zu erhöhen, die für die Ausführung bestimmter Angriffsklassen erforderlich ist. Dies wird durch Systemhärtung und einen proaktiven, kontinuierlichen Fokus auf Sicherheit und Angriffsresistenz erreicht. Subgraph OS legt auch Wert darauf, die Integrität installierter Softwarepakete durch deterministische Kompilierung sicherzustellen. Subgraph OS verfügt über einen Kernel, der mit dem Grsecurity- und PaX-Patchset, Linux-Namespaces und Xpra für die Eindämmung von Anwendungen, die obligatorische Dateisystemverschlüsselung mit LUKS und die Widerstandsfähigkeit gegen Kaltstartangriffe gehärtet ist. Standardmäßig ist die Netzwerkkommunikation für installierte Anwendungen für unabhängige Schaltkreise isoliert im Tor-Anonymitätsnetzwerk.[citation needed]
  • Tails ist eine sicherheitsorientierte Linux-Distribution, die Datenschutz und Anonymität gewährleisten soll. Es soll als Live-CD oder von einem USB-Laufwerk ausgeführt werden und keine Daten auf ein Laufwerk schreiben, es sei denn, dies ist angegeben oder die Persistenz ist festgelegt. Auf diese Weise befindet es sich im RAM und alles wird beim Ausschalten aus dem System entfernt. Tails wurde entwickelt, um eine Notabschaltung durchzuführen und seine Daten aus dem RAM zu löschen, wenn das Medium, auf dem es sich befindet, ausgewiesen wird.[1]
  • Whonix[2][3] ist ein anonymes Allzweckbetriebssystem, das auf VirtualBox, Debian GNU / Linux und Tor basiert. Durch das Whonix-Design sind IP- und DNS-Lecks nicht möglich. Nicht einmal Malware als Superuser kann die tatsächliche IP-Adresse / den tatsächlichen Standort des Benutzers ermitteln. Dies liegt daran, dass Whonix aus zwei (virtuellen) Maschinen besteht. Ein Computer führt ausschließlich Tor aus und fungiert als Gateway namens Whonix-Gateway. Die andere Maschine namens Whonix-Workstation befindet sich in einem vollständig isolierten Netzwerk. Es ist auch möglich, mehrere Whonix-Workstations gleichzeitig über ein Gateway zu verwenden, wodurch eine Stream-Isolation gewährleistet wird (obwohl dies nicht unbedingt empfohlen wird).[4] Alle Verbindungen werden mit der Whonix Gateway Virtual Machine über Tor erzwungen, daher sind IP- und DNS-Lecks nicht möglich.[5]

Fedora-basiert[edit]

  • Qubes OS ist ein Desktop-Betriebssystem, das auf dem Xen-Hypervisor basiert und das Gruppieren von Programmen in mehrere isolierte Sandboxen (virtuelle Maschinen) ermöglicht, um Sicherheit zu bieten. Windows für Programme, die in diesen Sandboxen ausgeführt werden (“Sicherheitsdomänen”), können zur einfachen Erkennung farbcodiert werden. Die Sicherheitsdomänen sind konfigurierbar, können vorübergehend sein (Änderungen am Dateisystem bleiben nicht erhalten) und ihre Netzwerkverbindung kann über spezielle virtuelle Maschinen (z. B. eine, die nur Tor-Netzwerke bereitstellt) weitergeleitet werden. Das Betriebssystem bietet sichere Mechanismen zum Kopieren und Einfügen sowie zum Kopieren von Dateien zwischen den Sicherheitsdomänen.[6]

Gentoo-basiert[edit]

Andere Linux-Distributionen[edit]

  • Alpine Linux ist eine aktiv gewartete, leichte, musl- und BusyBox-basierte Distribution. Es verwendet PaX- und grsecurity-Patches im Standardkernel und kompiliert alle Pakete mit Stack-Smashing-Schutz.
  • Annvix wurde ursprünglich von Mandriva entwickelt, um eine sicherheitsorientierte Serverdistribution bereitzustellen, die ProPolice-Schutz, gehärtete Konfiguration und einen geringen Platzbedarf bietet. Es war geplant, das obligatorische RSBAC-Zugangskontrollsystem vollständig zu unterstützen. Annvix ist jedoch inaktiv, da die letzte Version am 30. Dezember 2007 veröffentlicht wird.[12]
  • EnGarde Secure Linux ist eine sichere Plattform für Server. Seit 2003 gibt es ein browserbasiertes Tool für MAC mit SELinux. Darüber hinaus kann es mit Web-, DNS- und E-Mail-Unternehmensanwendungen geliefert werden, die sich speziell auf die Sicherheit ohne unnötige Software konzentrieren. Die Community-Plattform von EnGarde Secure Linux ist die neueste Version, die kostenlos zum Download zur Verfügung steht.[citation needed]
  • Immunix war eine kommerzielle Distribution von Linux, die sich stark auf Sicherheit konzentrierte. Sie lieferten viele eigene Systeme, darunter StackGuard; kryptografische Signatur von ausführbaren Dateien; Race Condition Patches; und Format String Exploit Guarding Code. Immunix veröffentlicht traditionell ältere Versionen ihrer Distribution kostenlos für den nichtkommerziellen Gebrauch. Die Immunix-Distribution selbst ist unter zwei Lizenzen lizenziert: den kommerziellen und nicht kommerziellen Immunix-Lizenzen. Viele Tools sind jedoch GPL, ebenso wie der Kernel.[citation needed]
  • Das Openwall Project (Owl) von Solar Designer war die erste Distribution, die über einen Kernel-Patch einen nicht ausführbaren Userspace-Stack, / tmp Race Condition Protection und Zugriffssteuerungsbeschränkungen für / proc-Daten verfügte. Es enthält auch ein tmp-Verzeichnis pro Benutzer über das PAM-Modul pam_mktemp und unterstützt die Blowfish-Kennwortverschlüsselung.

BSD-basiert[edit]

  • TrustedBSD ist ein Teilprojekt von FreeBSD, mit dem vertrauenswürdige Betriebssystemerweiterungen hinzugefügt werden sollen, die auf die allgemeinen Kriterien für die Bewertung der Sicherheit der Informationstechnologie abzielen (siehe auch Orange Book). Die Hauptschwerpunkte liegen auf Zugriffssteuerungslisten, Ereignisüberwachung, erweiterten Attributen, obligatorischen Zugriffskontrollen und detaillierten Funktionen. Da bekannt ist, dass Zugriffssteuerungslisten mit dem verwirrten Stellvertreterproblem konfrontiert sind, sind Funktionen ein anderer Weg, um dieses Problem zu vermeiden. Im Rahmen des TrustedBSD-Projekts gibt es auch einen Port der FLASK / TE-Implementierung der NSA, der unter FreeBSD ausgeführt werden kann. Viele dieser vertrauenswürdigen Erweiterungen wurden ab 5.x in den Hauptzweig von FreeBSD integriert.
  • OpenBSD ist ein Forschungsbetriebssystem zur Entwicklung von Sicherheitsminderungen.[13]

Objektfähigkeitssysteme[edit]

Diese Betriebssysteme basieren alle auf dem Sicherheitsparadigma der Objektfähigkeiten, bei dem das System nicht entscheiden muss, ob eine Zugriffsanforderung gewährt werden soll, sondern dass durch die Bündelung von Berechtigungen und Bezeichnungen nichts Unzulässiges angefordert werden kann.

Solaris-basiert[edit]

  • Trusted Solaris war eine sicherheitsorientierte Version des Solaris Unix-Betriebssystems. Trusted Solaris richtet sich in erster Linie an den staatlichen Computersektor und bietet eine detaillierte Prüfung aller Aufgaben, eine steckbare Authentifizierung, eine obligatorische Zugriffskontrolle, zusätzliche physische Authentifizierungsgeräte und eine differenzierte Zugriffskontrolle. Trusted Solaris ist nach Common Criteria zertifiziert.[14][15] Die neueste Version, Trusted Solaris 8 (veröffentlicht 2000), erhielt die EAL4-Zertifizierungsstufe, die durch eine Reihe von Schutzprofilen erweitert wurde. Telnet war bis zum Patch im April 2001 anfällig für Pufferüberlauf-Exploits.[16]

Windows Server[edit]

Ab Windows Server 2008 hat Windows Server eine Installationsoption namens “Server Core” hinzugefügt, in der die herkömmliche grafische Benutzeroberfläche nicht installiert ist. Die Verwaltung in Windows Server 2008 sollte auf der Windows-Eingabeaufforderung basieren. Rollen und Komponenten werden dann einzeln installiert. Diese Option reduziert den Windows Server-Footprint, was zu einem geringeren Bedarf an Systemressourcen und einer geringeren Anzahl von Komponenten führt, die möglicherweise über potenzielle Sicherheitslücken ausgenutzt werden könnten.[17]

Später, mit Windows Server 2016, führte Microsoft eine Nano Server-Installationsoption mit noch geringerem Platzbedarf ein. Es war kopflos und unterstützte keine lokal angeschlossene Tastatur und keinen Monitor.[18] Nano Server in Windows Server 1709 (das (nicht mehr) ständig aktualisierte Geschwister von Windows Server 2016) konnte nur in einem Container installiert werden.[19]

Sie wurden eingestellt.[20]

Siehe auch[edit]

Verweise[edit]

  1. ^ Vervloesem, Koen (27. April 2011). “The Amnesic Incognito Live System: Eine Live-CD für Anonymität [LWN.net]””. lwn.net. Archiviert vom Original am 21. August 2017. Abgerufen 14. Juni 2017.
  2. ^ “Whonix / Whonix”. GitHub. Archiviert vom Original am 25. November 2016. Abgerufen 9. April 2018.
  3. ^ “Whonix: Ein Betriebssystem für die Ära von Anonymous und Wikileaks”. computerworld.com.au. Archiviert vom Original am 7. November 2017. Abgerufen 9. April 2018.
  4. ^ “Multiple Whonix-Workstation ™”. www.whonix.org. Archiviert vom Original am 1. Oktober 2019. Abgerufen 1. Oktober 2019.
  5. ^ https://greycoder.com/whonix-operating-system-ip-dns-leaks-impossible/
  6. ^ “Umleiten …” qubes-os.org. Archiviert vom Original am 3. Mai 2017. Abgerufen 30. April 2017.
  7. ^ Pentoo (Gentoo) -basierte Linux-Überprüfung, Funktionen und Screenshot-Tour, TecMint.
  8. ^ 12 besten Linux-Distributionen für Hacking- und Penetrationstests im Jahr 2018 | Es ist FOSS
  9. ^ Ein Blick auf Pentoo Linux und seine Sicherheitsanalyse-Tools, eWeek
  10. ^ 12 besten Betriebssysteme für ethisches Hacken und Penetrationstests | Ausgabe 2018
  11. ^ “Zinnhut”. D’Youville College. Archiviert von das Original am 3. März 2016. Abgerufen 4. September 2015.
  12. ^ “Annvix: Eine stabile, sichere und schnörkellose Server-Distribution”. Linux.com | Die Quelle für Linux-Informationen. 16. Januar 2008. Archiviert vom Original am 24. Juli 2018. Abgerufen 24. Juli 2018.
  13. ^ “Pledge () – Ein neuer Minderungsmechanismus”. Abgerufen 8. Oktober 2018.
  14. ^ “Sun Common Criteria-Zertifizierung”. 13. Oktober 2004. Archiviert von das Original am 13. Oktober 2004. Abgerufen 9. April 2018.
  15. ^ . 12. März 2007 https://web.archive.org/web/20070312070621/http://www.sun.com/software/security/securitycert/images/TSol8_7-03CMS.jpg. Archiviert vom Original am 12. März 2007. Abgerufen 9. April 2018. CS1-Wartung: BOT: Original-URL-Status unbekannt (Link)
  16. ^ “Sun Patch: Vertrauenswürdiger Solaris 8 4/01: in.telnet-Patch”. 4. Oktober 2002. Abgerufen 13. August 2012. 4734086 in.telnetd anfällig für Pufferüberlauf ?? (Solaris-Fehler 4483514)[permanent dead link]
  17. ^ Lohr, Heidi (1. November 2017). “Was ist Server Core 2008?”. Docs. Microsoft. Archiviert vom Original am 27. Januar 2018. Abgerufen 27. Januar 2018.
  18. ^ Poggemeyer, Liza; Hall, Justin (6. September 2017). “Nano Server installieren”. Docs. Microsoft. Archiviert vom Original am 27. Januar 2018. Abgerufen 27. Januar 2018.
  19. ^ Poggemeyer, Liza; Lich, Brian. “Änderungen an Nano Server im halbjährlichen Windows Server-Kanal”. Docs. Microsoft. Archiviert vom Original am 27. Januar 2018. Abgerufen 27. Januar 2018.
  20. ^ “Was ist neu in Windows Server, Version 1709”. docs.microsoft.com.


after-content-x4