介紹
優秀的 Linux 作業系統是自由和開源的。因此,有數千種不同的“風味”可供選擇——而某些型別的 Linux,例如 Ubuntu 是通用的,而且適用於許多不同的用途。
但安全意識高的使用者會對專為隱私和安全設計的 Linux 發行版更有興趣,它們可以幫助你通過加密操作來保護資料的安全,並支援在 Live 模式下執行,無需將資料寫入在使用中的硬碟。
這篇文章將列出十個關注隱私和安全性的 Linux 發行版。
1. Qubes OS
雖然不是面向新手使用者的發行版,但 Qubes 是頂級的關注隱私的發行版之一。該發行版必須使用圖形化安裝程式將作業系統安裝到硬碟驅動器,這是被加密的。
Qubes OS 使用 Xen Hypervisor 來執行多個虛擬機器,其主要理念就是基於隔離的安全,它會將系統隔離為“個人”、“工作”和“上網”。這樣,即便你不小心在工作機器上下載了惡意軟體,但個人檔案不會受到影響。
主桌面會使用顏色編碼的視窗,用於展示不同的虛擬機器,以方便區分。
https://www.qubes-os.org/
2. Tails
Tails (The Amnesiac Incognito Live System) 可能是最有名的關注隱私的 Linux 發行版之一,它是基於 Debian 的自啟動光碟和 USB 發行。Tails 可以在 Live 模式下從 DVD 執行,從而將其完全載入進系統 RAM,並且其活動不會產生任何痕跡。這款系統也可以像普遍的系統一樣在“持久”模式下執行,關於系統的設定會儲存在加密的 U 盤上。
Tails 為使用者提供了完整的因特網匿名功能,所有的網路流量都會經過匿名網路 Tor,它可隱藏你的上網痕跡,使得網路流量難以被追蹤。Tails 中配備的應用程式也是經過謹慎選擇的,以安全為理念進行了預配置,以增強使用者的隱私安全。例如,KeePassX 密碼管理器、網頁瀏覽器、IRC客戶端、郵件mail客戶端等。值得注意的是 Tails 會不斷髮現漏洞,因此請務必經常檢查更新。(當然對待任何作業系統都應如此)
https://tails.boum.org/
3. BlackArch Linux
這個基於 Arch Linux 的輕量級滲透測試發行,包含了 1,600 多種不同的黑客工具以用於滲透測試和計算機取證分析,這節省了每次下載需要的時間。BlackArch Linux 被設計為服務於系統滲透測試人員及安全研究人員,包含有多個輕量級視窗管理器如 Fluxbox、Openbox、Awesome、spectrwm。
BlackArch Linux的提供形式是一張自啟動執行 DVD 映象,可以從 U 盤或 CD 上直接執行,也可以安裝到電腦或虛擬機器,甚至可以安裝在樹莓派上以給你提供一個便攜的滲透測試計算機。
特別值得一提的是它的 ‘anti-forensics’ 目錄,因為它包含了為已加密的裝置掃描記憶體的工具,這有助於保護機器免受“冷啟動攻擊”。
https://blackarch.org/
4. Kali
Kali Linux(以前叫做BackTrack),以印度教的一個女神命名,是最著名的滲透測試發行版之一,也是一份基於 Debian 的發行。它帶有一套安全和計算機取證工具。其特色在於及時的安全更新(每週提供更新的 ISO 映象),對 ARM 架構的支援(可在樹莓派上執行),有四種流行的桌面環境供選擇,以及能平滑升級到新版本。
Kali 有著令人敬畏的聲望,它的創作者會通過 Kali Linux Dojo 提供培訓。課程內容包括定製自己的 Kali Linux ISO 和學習滲透測試的基礎。對於無法參加培訓的人士,所有的課程教育資源都可通過 Kali 的網站免費獲取。
https://www.kali.org/
5. IprediaOS
IprediaOS 是一個基於 Linux 的快速、強大和穩定的作業系統,提供了匿名的環境。所有的網路流量都會被自動和透明地加密和匿名化。這個面向隱私的作業系統基於 Fedora Linux,可在 Live 模式下執行也可安裝到硬碟上。正如 Tails OS 會將所有網路流量通過 Tor 網路以避免被追蹤,Ipredia 中所有的網路流量都會經過匿名的 I2P 網路。
它的功能包括匿名電子郵件和 BitTorrent 客戶端,IRC 聊天,以及瀏覽 eepsites(特殊的 .i2p 副檔名)的功能。與 Tor 不同的是,I2P 不能作為訪問正常的網際網路的閘道器,所以 Ipredia 無法安全地訪問常規網站。不過只能訪問 eepsites 的優點是你的連線是真正無法被追溯的。
http://www.ipredia.org/os
6. Whonix
引導一份 Live 作業系統是一個麻煩,因為必須重新啟動計算機,但將其安裝到硬碟意味著有被攻擊的風險。Whonix 提供了一個優雅的方案,它被設計為執行在 Virtualbox 中作為一個虛擬機器而工作。由於它在虛擬機器中執行,所以 Whonix 與所有可執行 Virtualbox 的作業系統相容。
Whonix 是一份聚焦於匿名性、隱私、安全的作業系統。它基於 Tor 匿名網路、Debian GNU/Linux、基於隔離的安全性。Whonix 包括兩部分,一部分只執行在 Tor 上並扮演閘道器角色,這部分叫做 Whonix-Gateway;另一部分叫做 Whonix-Workstation,位於隔離網路中。只有經由 Tor 的連線被允許。有了 Whonix,你就可以匿名使用應用程式並在因特網上執行伺服器。因匿名解析而造成的資訊洩漏不可能存在,即便獲得了根許可權的惡意軟體也無法發現使用者的真實 IP 地址。
https://www.whonix.org/
7. Discreete Linux
這個故意拼寫錯的發行版是優秀的 Ubuntu Privacy Remix 的繼承者。該作業系統不支援網路硬體或內部硬碟驅動器,因此所有的資料都離線儲存在 RAM 或 USB 裝置中。它可以在 Live 模式下執行,但當從卷啟動時也允許將一些設定儲存在加密的‘Cryptobox’中。
還有另外一個值得關注的功能是它的核心模組只能在 Discreete Linux 團隊進行數字簽名後才能安裝。這可以防止黑客試圖偷偷安裝惡意軟體。請注意,該作業系統目前尚處於 Beat 測試階段。
https://www.discreete-linux.org/
8. Parrot Security OS
這款滲透測試系統由來自義大利的團隊 Frozenbox 開發。和 Kali 和 BlackArch 一樣,它也包含著許多易用的工具。Parrot Security OS 是面向安全的作業系統,它被設計為用於滲透測試、計算機取證、反向工程、攻擊、雲端計算滲透測試、隱私/匿名、密碼等場合。
Parrot 基於 Debian,其特色在於 MATE 桌面環境,擁有更豐富多彩的背景和選單。因此,它對硬體的要求比其他滲透測試發行版(例如 Kali)更高。建議至少使用 2GB 的 RAM。
對於資源有限的使用者,Parrot Cloud 是專門用於在伺服器上執行的特殊發行版。它沒有圖形介面,但包含了一些網路和取證工具,可用於遠端執行測試。
https://www.parrotsec.org/
9. Subgraph OS
Subgraph OS 是基於 Debian 的 Linux 發行,為超強的安全性而設計,它提供了多種安全、匿名上網、加固的特性。它的核心通過許多安全性的增強進行了加固,Subgraph 還在諸如瀏覽器之類的高風險應用中建立了虛擬的“沙盒”。因此,任何針對獨立應用程式的攻擊都不會危及整個系統。
Subgraph OS 使用加固過的 Linux 核心及應用防火牆來阻止特定的可執行程式去訪問網路,並強制要求所有的因特網流量都經由 Tor 網路。每個應用程式需要連線到網路和訪問其他應用程式的“沙盒”都需經過手動的允許。
該發行的檔案管理器帶有特色工具可以從資料檔案中移除後設資料,並且還整合了 OnionShare 檔案共享軟體。該發行使用 Icedove 郵件客戶端以自動配合 Enigmail 對電子郵件進行加密。
在 Subgraph 中,對檔案系統的加密是強制性的,這意味著沒有寫入未加密資料的危險。要注意的是,Subgraph 還處於測試階段,因此不要依賴使用它來保護任何真正敏感的資料(並且一如既往地保持常規的備份)。
https://subgraph.com/
10. TENS
第十個發行版恰好是 TENS(Trusted End Node Security)。以前被稱為 LPS(Lightweight Portable Security),這份 Linux 發行版是美國國防部的產品。Trusted End Node Security (TENS)是基於 Linux 的自啟動執行光碟,其目標是讓使用者能在計算機上工作而不會有向惡意軟體、鍵盤記錄程式及其他因特網時代的惡疾洩露資訊憑證及私人資料的風險。
它包含了最必需的一套應用軟體及實用工具,例如 Firefox 網頁瀏覽器,以及一份加密嚮導以對個人檔案進行加解密。但有一個‘Public Deluxe’(公開豪華版)也包含了 Adobe Reader 和 LibreOffice 這樣的工具。所有的版本都包含一個自定義防火牆,值得注意的是該作業系統支援通過 Smart Card 登入。
https://spi.dod.mil/lipose.htm