GNU/Linux >> Tutoriels Linux >  >> Linux

Linux - Comment vérifier qu'une distribution Linux est sécurisée et n'a pas de code malveillant ??

Fermé . Cette question doit être plus ciblée. Il n'accepte pas de réponses actuellement.

Vous voulez améliorer cette question ? Mettez à jour la question afin qu'elle se concentre sur un seul problème en modifiant ce message.

Fermé il y a 5 ans.


Améliorer cette question

Je suis nouveau sur Linux et j'adore ça. Cependant, alors que j'ai joué avec plusieurs versions de Linux, une seule question me vient à l'esprit en tant que nouvel utilisateur des systèmes Linux :comment puis-je m'assurer qu'une distribution Linux est sûre, sécurisée et digne de confiance sans aucune porte dérobée ou code malveillant à l'intérieur ? le système d'exploitation ?

J'ai commencé à utiliser Deepin et je dois dire que j'adore ça. J'ai essayé Ubuntu, Zorin, Mint, Kubuntu, Linux Lite, Elementary OS et quelques autres il y a quelque temps, mais ils avaient tous besoin de trop de bricolage pour l'obtenir comme je le souhaitais; mais Deepin fait l'affaire à bien des égards. C'est simple, élégant et jusqu'à présent, il a été assez réactif à ce pour quoi je veux l'utiliser ; mais la grande question dans mon esprit est comment puis-je faire confiance à cette distribution ?

J'utilise mon ordinateur pour faire des choses comme les opérations bancaires en ligne et créer des bases de données qui contiennent des informations sensibles car je travaille pour une organisation publique et je ne peux pas compromettre ces données.

J'ai contacté la Fondation Linux, mais je n'ai reçu aucune réponse.

J'ai regardé RMS parler d'Ubuntu et de la façon dont Ubuntu partage les mots-clés de recherche de bureau avec Amazon et je suis d'accord avec lui qu'il s'agit d'un logiciel espion par défaut qui, je le sais, peut être désactivé et désactivé, mais le fait est qu'il s'agit toujours d'un logiciel espion.

S'il vous plaît, quelqu'un peut-il me dire comment je peux m'assurer qu'une distribution Linux est sûre, sécurisée et qu'elle a été examinée pour détecter toute menace ou code malveillant par une organisation Linux digne de confiance ? Je l'ai cherché sur Google, mais je n'ai rien trouvé de solide sur la façon de vérifier l'intégrité d'un système d'exploitation basé sur Linux.

Réponse acceptée :

Réponse courte :vous ne pouvez pas.

Réponse longue :la distribution Linux contient plusieurs programmes différents qui forment l'ensemble du système d'exploitation, à savoir le noyau, les coreutils, certains shell et d'autres utilitaires.

Vous avez deux façons de vérifier si la distribution peut être utilisée en toute sécurité :

1. Lisez vous-même chaque code source.

Vous aurez besoin de lire énormément de code :le noyau est ~ 210K LOC (lignes de code) - ajoutez maintenant des pilotes (également de nombreux LOC), des coreutils, des programmes de base… C'est un travail depuis de nombreuses années. Et cela ne garantit toujours pas qu'il n'est pas malveillant - vous pourriez manquer quelque chose, il pourrait être obscurci ou dépendre d'un bogue matériel.

De plus, la sécurité ne se limite pas à être malveillante. Vous pouvez (en quelque sorte) obtenir un niveau de confiance décent quant au manque de code malveillant, mais vous ne pouvez (presque) jamais être sûr que votre programme est vraiment sûr. Des choses comme HeartBleed et ShellShock arrivent tout simplement; personne ne peut les empêcher.

2. Faites confiance aux autres

C'est une tentative plus sensée. Vous choisissez un groupe de personnes en qui vous avez confiance et vous utilisez leurs programmes en croyant en leur bonne volonté. Vous pouvez aller sur la page de la Free Software Foundation – ces gens sont sérieux au sujet de leur vie privée et de leur liberté. Ils n'approuvent que des distributions limitées qui sont entièrement des logiciels libres et ouverts, vous pouvez donc lire son code source. Il n'y a pas beaucoup de gens qui les utilisent, donc le support peut être limité - mais c'est un bon pari.

Connexe :Linux – Écrire sur un FIFO avec plusieurs processus ?

Vous pouvez également faire confiance à d'autres personnes - comme les développeurs Gentoo ou Debian ou Fedora (ou toute autre distribution). Ils rassemblent leurs distributions, regroupent certains programmes et les publient. Peut-être n'ont-ils pas de mauvaises intentions ?

Note personnelle :Je considère la sécurité, la confidentialité et la liberté comme des valeurs importantes. Cependant; il y a une frontière entre être paranoïaque et se soucier de ces valeurs. RMS devient paranoïaque ; ce n'est pas nécessairement une mauvaise chose, car sa voix est forte et ce qu'il dit est clair. Beaucoup de gens commencent à se soucier de la liberté grâce à RMS.

Cependant, aucun de ceux-ci ne garantit la sécurité. La loi de Linus n'est pas aussi simple et ne fonctionne pas toujours. Beaucoup de gens pensent que parce que la source est ouverte, d'autres la lisent - ainsi, ils n'ont pas besoin de lire la source eux-mêmes. Cela nous laisse avec un petit groupe qui a lu le code, et encore plus petit de ceux qui l'ont compris. C'est encore mieux que la propriété, mais pas aussi sûr qu'annoncé.

Si vous voulez être parfaitement en sécurité, éteignez l'ordinateur et démontez-le. C'est le seul moyen d'être sûr à 100 %.


Linux

  1. Comment vérifier la version de Redhat

  2. Comment vérifier le fuseau horaire sous Linux

  3. Comment vérifier la version du système d'exploitation et de Linux

  4. Comment afficher les détails du système et du matériel dans Linux Mint 20

  5. Comment compiler et installer un logiciel à partir du code source sous Linux

Comment vérifier et réparer un système de fichiers dans RHEL Linux

Comment vérifier l'historique de redémarrage du système et l'heure de démarrage sous Linux

Comment vérifier l'espace d'échange sous Linux

Comment vérifier la taille des fichiers et du répertoire sous Linux

Autorisations de base du répertoire Linux et comment les vérifier

Types de base d'utilisateurs Linux et comment les vérifier