Kicksecure — Whonix с человеческим лицом

kicksecure.com

ОС вроде Qubes, Tails и Whonix — это не решение на повседнев. Спросите у любого, кто ими пользовался. Они подходят исключительно для рабочих задач. Но что, если модель угроз требует дополнительной защиты и на домашней машине? Конечно, можно настроить всё самому — на то мы и пользуемся Linux — но есть и готовое решение.

Kicksecure — это защищённый дистрибутив Linux на базе Debian от создателей Whonix. От последнего же он перенял множество фич, но главное отличие — он создан для установки на реальное железо, а не в виртуалку.

Разработчики Kicksecure применили множество твиков для усиления всей системы: от загрузчика до sysctl. Дистрибутив основан на ядре linux-hardened, по умолчанию закрывает все порты и выпиливает стандартные для Debian сетевые сервисы вроде Exim, Samba и CUPS для снижения поверхности атаки. А пакетный менеджер APT из коробки скачивает обновления строго через Tor.

Но такого уровня безопасности можно добиться хоть на Arch за 10 минут. Куда интереснее механизмы защиты от неочевидных, почти безумных векторов атак. Например, безопасная синхронизация времени через sdwdate защищает от атак на временные метки. Сервис tirdad защищает от фингерпринтинга ОС, постоянно подмешивая случайные данные в генератор начальных номеров TCP-пакетов (ISN). Да, фингерпринтить научились по TCP пакетам…

ClamAV не завезли, но защита от вирусов тут серьёзная — hidepid не даёт процессам видеть друг друга, а флаг noexec запрещает запуск исполняемых файлов из <a href="" onclick=“return ShowBotCommand(“home”)">/home, <a href=”" onclick=“return ShowBotCommand(“tmp”)">/tmp и других юзерских директорий. Вишенка на торте — демон VirusForget, который при каждом выключении автоматически зачищает временные папки, уничтожая следы неперсистентной малвари.

Кстати, Kicksecure, как и Tails, можно записать на флешку в двух режимах: Live и Persistent. Но в отличие от Tails, где Persistent — это отдельный, правдоподобно отрицаемый раздел, Kicksecure просто форматирует флешку как диск. Никакой магии, зато на порядок проще и понятнее в настройке. Более того, даже с Persistent-флешки при загрузке можно выбрать Live-режим — тогда система запустится из оперативки и не оставит никаких следов.

ИМХО:  Проект крутой и подходит к вопросу безопасности более всесторонне, чем аналоги. Он менее консервативен, чем GrapheneOS или тот же secureblue. Как по мне, единственное узкое горлышко проекта — это база в виде Debian с его старыми пакетами. Зато документация у Kicksecure хоть и выглядит хаотичной, но очень обширная и даже просто интересная для изучения.

По теме

Свежее