Агентство национальной кибербезопасности Франции опубликовало (https://www.gentoo.org/news/2018/10/04/clip-os.html) исходные тексты проекта CLIP OS (https://clip-os.org/en/), в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы (https://docs.clip-os.org/) наработки Gentoo Hardened (https://wiki.gentoo.org/wiki/Hardened_Gentoo) с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты (https://github.com/clipos) в основном под свободной лицензией LGPLv2.1+.
В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается (https://github.com/clipos-archive/clipos4_doc) с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.
Исполняемые и системные файлы в дистрибутиве отделены от изменяемых данных (корневой раздел монтируется в режиме только для чтения, а изменяемые каталоги выборочно подключаются при помощи bind-монтирования). Также применяется многоуровневая система доступа, разграничивающая обработку информации с разными уровнями конфиденциальности. Разделение осуществляется путём поддержания разных окружений, выполняемых в изолированных контейнерах, используя подход, напоминающий Qubes OS.
Прямое взаимодействие между окружениями запрещено. Каждый контейнер имеет доступ только к разрешённому набору данных и ограничен доступном только к необходимым системным вызовам. Для дополнительной изоляции контейнеров применяются патчи от проекта Landlock (https://landlock.io/). Подобные изолированные окружения например, могут быть созданы для web-браузера и офисного пакета, эксплуатация уязвимостей в которых не повлияет на безопасность остальной системы. Графическое окружение построено на основе композитного сервера на базе Wayland. Для изоляции отдельных приложений также предлагается использовать Flatpak.
Загружаемые компоненты ОС и модули ядра верифицируются по цифровой подписи с использованием загрузки в режиме UEFI Secure Boot. В дистрибутиве организована проверка целостности файлов и связанных с ними метаданных по базе предварительно вычисленных хэшей. Целостность корневого раздела проверяется при помощи подсистемы DM-Verity. Обновление производится в атомарном режиме путём замены корневого раздела (новая версия копируется в запасной раздел, который затем делается активным, старый вариант остаётся для следующего обновления и может применяться для отката изменений).
Администратор имеет ограниченные права и не может скомпрометировать уже установленную систему и также не имеет доступа к данным пользователей. Доступ администратора ограничен возможностью изменения только определённого набора настроек. На разделах с данными применяется шифрование и верификация целостности (LUKS2, DM-Crypt и DM-Integrity). Опционально возможно шифрование и системных разделов.
Запуск исполняемого кода и скриптов ограничен только разрешёнными компонентами (используется патч O_MAYEXEC (https://github.com/clipos-archive/src_platform_clip-patches/...)). По умолчанию для защиты процессов применяется механизм защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение (код может быть исполнен только после запрещения записи, а запись возможна только после запрета исполнения).
Предоставлены инструменты для версифицирвоанной сборки установочных образов из исходных текстов. Готовые установочные сборки не формируются, вместо них по аналогии с Gentoo предлагается собирать пакеты из исходных текстов. Процесс сборки повторяем, т.е. можно убедиться, что используемые исполняемые файлы собраны именно из имеющихся исходных текстов.
Для установки приложений используются (https://github.com/clipos/src_portage_clipos) портреджи Gentoo, но также развивается прослойка (https://github.com/clipos/assets_debian) для поддержки пакетов из репозиториев Debian. По умолчанию при сборке портреджей включаются все доступные опции для повышения безопасности на этапе сборки (сборка в виде PAE, режимы защиты от переполнения стека и проверки границ буферов). В дистрибутиве также задействованы патчи для усиления безопасности ядра Linux и активированы MAC-расширения SELinux.
Дополнительно можно отметить, что сегодня исполнилось ровно 19 лет с момента основания проекта Gentoo Linux.
URL: https://www.gentoo.org/news/2018/10/04/clip-os.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=49395
