secureblue — усиленный Linux на базе Fedora Atomic

http://secureblue.dev

Secureblue позиционируется как защищённый Linux-десктоп для тех, кто по разным причинам остаётся на «простом» Linux. Проект строится на Fedora Atomic и распространяется в виде OCI-контейнеров — современный подход с atomic-обновлениями и откатами.

Среди ключевых технологий — hardened_malloc от GrapheneOS (защищённый аллокатор памяти, блокирующий эксплуатацию уязвимостей типа buffer overflow). Встроенный браузер Trivalent вдохновлён Vanadium (также из GrapheneOS) — тот же Chromium, но с усиленной изоляцией сайтов, отключенными расширениями и JIT-компиляцией. К слову, даже дизайн сайта напоминает GrapheneOS — видна общая философия проектов.

SELinux настроен агрессивно — блокирует непривилегированные user namespaces. Вместо классических sudo/su/pkexec используется run0 — механизм повышения привилегий через systemd (запускает команды в изолированном контексте, не меняя uid процесса). USBGuard защищает от BadUSB-атак, DNS работает через TLS с DNSSEC, отключено множество ненужных системных сервисов. Настройки sysctl для усиления ядра частично позаимствованы у конкурента Kicksecure — создатели secureblue открыто это признают.

Большинство юзеров полюбили проект именно за то, что он основан не на Debian. Нелюбовь к Debian не разделяем, но выбор должен быть у всех.

ИМХО: Неплохая альтернатива, которая точно найдёт своего юзера. Проект активно развивается, сообщество отзывчивое. Но для большинства сценариев специализированные решения будут уместнее: Qubes OS, Tails и Whonix по отдельности закрывают большинство потребностей. Secureblue — это скорее про компромисс между безопасностью и удобством. Если нужен именно усиленный рабочий Linux без радикальных изменений — стоит попробовать.