Puppy linux安全模型什么时候有意义？

我刚刚花了几个小时来玩Puppy linux，它具有一些非常好的功能，但是有关其安全性方法（至少是默认设置）的某些问题让我感到担忧：

1. 似乎使用它的预期方式是以root身份运行所有内容
2. root没有密码（默认情况下，我当然可以添加一个）
3. 据我所知，没有自动（甚至是简单的非自动）方式来获取软件包的安全更新。（我可能错过了一些东西。）

我一直深信拥有一个复杂的密码，不要以管理员/ root用户身份浏览互联网，以及为系统软件（以及浏览器和插件）提供最新漏洞补丁的最新信息的重要性。但是，尽管在我看来，灾难看起来像是个灾难的秘诀（上面已概述），但Puppy仍然很受欢迎，具有很多附带利益，因此，在某些情况下，显然缺乏安全性绝对不是问题。这些是什么？

小狗是玩具发行版，适合业余爱好者。那是唯一的（缺乏）Puppy安全模型有意义的方案。

研究信息安全性的机构根据他们所看到的入侵统计数据发布缓解策略。这是澳大利亚政府的清单：

http://dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm

他们估计，遵循前4个策略将阻止85％的入侵。这些是：

1. 修补应用程序，例如PDF查看器，Flash Player，Microsoft Office和Java。两天内修补或缓解高风险漏洞。使用最新版本的应用程序。

2. 修补操作系统漏洞。两天内修补或缓解高风险漏洞。使用最新的操作系统版本。

3. 最小化具有域或本地管理特权的用户数。此类用户应使用单独的非特权帐户进行电子邮件和Web浏览。

4. 应用程序白名单有助于防止恶意软件和其他未经批准的程序运行，例如通过使用Microsoft软件限制策略或AppLocker。

小狗在所有这些方面都失败了。严重的发行版比如Fedora，OpenSUSE中，Debian的等方面都远远更安全。这些发行版都有活动的安全邮件列表，这些邮件列表提供及时的安全补丁，通过AppArmor和/或SELinux提供应用程序白名单，当然，不要以root用户身份运行所有内容（老实说，wtf？）。

如果您重视安全性，请不要在任何严重的事情上使用Puppy。

从汇编到Oracle数据库管理，用30多种语言进行了30多年的编程，我发现没有什么比Puppy Linux更安全，更可靠了。

像所有Unix / Linux系统一样，Puppy Linux安全性与微软最熟悉的安全性世界截然不同。尽管从Microsoft的角度来看，其他答案中表达的贬低是完全可以理解的，但是由于缺乏对其他安全性方法的了解而引起的。

通常，除非明确拒绝，否则Microsoft Windows O / S假定对所有内容具有完全访问权限。除非明确授权，否则Unix / Linux不会访问任何内容。这在防止未经授权的访问方面大有帮助。

* nix root用户被授予对大多数内容的完全访问权限，尽管root通常会阻止* nix 用户执行诸如未设置执行许可标志的文件执行操作，以及通过没有密码或预先安排的密钥共享的SSH连接到另一台主机。

与“本地” Linux不同，Puppy Linux已针对单用户环境进行了优化。单用户root可以完全控制该计算机，因此可以更好地保护其免受入侵者的侵害。如果需要容纳多个用户，请尝试其他许多高级Linux发行版之一。

Puppy Linux的使用 unionfs / aufs堆栈文件系统的使用将所有最近修改过的文件保留在只读层上。这提供了“撤消”功能，可以使整个系统更轻松地恢复到已知良好的状态。作为最后的选择，已分发的原始系统保留在底部的只读层，可以在将其重新引导到的同时保留上层的后续更改。

尽管很少讨论，但频繁修补软件是一把多刃剑。新版本必须始终容纳当前的硬件，这通常会在与较旧的软件和硬件进行互操作时产生故障。这就是为什么如果您想使任何内容保持最新，则必须使所有内容都保持最新。

修补程序可能是Microsoft环境中唯一可行的防御措施，但是每个Linux都带有大量的技术工具箱，可在非最新，最好的硬件上运行时确保系统安全。

Puppy Linux通常被程序员，系统管理员和分析师用于日常计算需求，例如...

• 从几台机器/用户同时访问数十个网站。
• 用几乎所有已发明的语言开发软件。
• 试用无尽的排列和软件配置组合。
• ...甚至在这里回答问题时检查电子邮件和社交媒体。

标准的“严重” Linux范式会由于拒绝访问（使用哪台计算机？）而给人一种错误的安全感，并且有时会令人沮丧。因此，即使连接到www，也有必要以“ root”身份运行许多应用程序。顺便说一句，我使用了一个“实时” Puppy来拆分我故意进行的“过度安全”的基于Debian的安装。我也使用KolibriOS（“蜂鸟OS”）做过同样的事情，它以100％ASM编写，并且无法识别所谓的“防御”。例如，在格式化为ext4的外部存储介质上，“丢失并找到”文件夹被锁定到大多数Linuxen而不是Puppy。

无论如何（AFAIK），最容易受到潜在攻击/污染的媒介/应用程序（Web浏览器）通常都不以“ root”身份运行。为了安全起见，有专用的浏览模式，https，当然还有防火墙和Web浏览器防火墙（在顶部），不要忘记强大的BleachBit清理程序。

关于缺乏更新，根据我的经验，MSW会不断更新/打补丁，但显然是所有系统中最不安全的系统。不断发布补丁的Linuxen滚动发行版，在大约一周左右的时间内就会崩溃；具有相对较少更新的LTS Linuxen，“可以正常使用”；因此Puppy中相对缺乏更新（取决于版本）可能是一个值得关注的错误领域，一个严重困扰着我的问题，直到我发现更多为止。

Puppy的一项重要安全功能是（在“节俭”安装中，这是首选/推荐），每个会话都可以保存或不保存到标准文件或唯一文件中，因此可以针对特定运行“定制”会话目的，要求注销/登录以恢复“正常”使用。出于特定目的，也可以添加受限用户帐户。鉴于节俭安装实际上是一个“实时”系统，如果正确使用，Puppy实际上可能比“常规” Linuxen更安全。

参考文献：

http://www.ciphersbyritter.com/COMPSEC/ONLSECP5.HTM

http://www.murga-linux.com/puppy/viewtopic.php?t=18639

最后，永远不要加入需要注册的论坛，而要使用“幽灵”电子邮件地址。

如前所述，Puppy使用不同的安全模型（或者，如果您愿意，可以使用不同的范式），并且必须根据实际情况进行判断。我的经验可以总结如下：

• Debian：遭到骇客入侵，应用程式回电。
• Slackware：被黑。
• 拱门：永远不会保持稳定到足以被黑客入侵的时间。
• Windows XP：我在Microsoft注册后卸载了以太网驱动程序。纳夫说。
• OpenBSD：被黑。是的，我知道。
• DragonFlyBSD：如果运行，则永远不会渗透。
• FreeBSD：到目前为止，一切都很好。使用PF。用了不到8个月。
• 小狗：六年来，从未被黑客入侵。从不。当我需要简单性和可靠性时，它仍然是我的主要发行版。

重申一下：Puppy使用不同的模型，许多人认为这是一种固有的安全模型。与传统的Unix，Windows或______进行比较，是将苹果与橙子进行比较。

自2000年以来，我一直仅使用Linux，并且从未感染过外部病毒。使用旧的Windows硬盘驱动器移动某些文件时，我曾经感染过一次自己。我运行Clamtkl清理了所有内容。

我已经在Puppylinux上工作了几年了。我仍然没有任何类型的病毒的问题。Windows用户像“这怎么可能？”一样挠头。

对我来说，这就像汽车司机问骑自行车的人，“你怎么只用两个轮子开车？”

Puppy仅将dbus用于会话管理。因此，没有什么像Active-x那样传播。

我使用Sylpheed电子邮件客户端，它仅是纯文本。

我使用的是旧版Opera，但禁用了大多数功能。我打开JS只是为了像现在一样发布。

由于我是从CD引导的，因此每次都是全新的开始。我的硬盘驱动器上没有操作系统。

当我启动时，我可以暂停并计数大约15个进程。我知道他们所有人。作为根，我的眼睛没有任何隐藏的东西。

我做了商业网站技术支持已经有好几年了，所以我不是典型的计算机用户。

Windows尝试限制启动选项，加密硬盘驱动器，加密或哈希程序，并在感染后始终应用安全补丁。然而，他们继续使用Active-x和等效机制来传播细菌。

人们想单击一个打开电子表格和所有其他内容的网络链接。人们坚持要在浏览器中保存密码，因为这样更方便。

许多Windows用户的登录异常复杂，他们无法理解为什么仍然感染病毒。这是因为机器的其余部分是敞开的门。

就像吸毒者与伙伴共享“干净”的针头一样。

我希望这可以消除对安全性和“小问题”的误解。

我确实想到过一种情况，在这种情况下，Puppy Linux之类的东西会相当安全（或者，我认为，我欢迎您提出评论。）如果您从Live CD在没有可安装存储设备的系统上运行它（这意味着没有硬盘驱动器）在系统中，或者至少没有使用过的一种），那么即使您访问的网站利用了未打补丁的浏览器中的某些漏洞，下次重新启动系统也将是干净的。*当然，在两次更新之间当您访问了这样的网站并重新启动后，可能会有一些键盘记录程序捕获您输入的任何密码，因此您必须要小心，除非您不打算登录任何地方，否则可能只访问带有书签的网站。您可以将文件保存在USB闪存驱动器上，

*我已经读到了有关病毒（尽管幸运的是应该很少见）可以感染您的BIOS或其他固件的信息，如果发生这种情况，那么重启将无济于事。

sml问：“您还可以提供一个链接给推荐Puppy的警察部队吗？”

也许这会有所帮助：新南威尔士州警察计算机犯罪调查部门的侦探督察Bruce van der Graaf在代表新南威尔士州政府在网络犯罪公开听证会上作证时，特别推荐Puppy Linux作为其中之一。安全地在互联网上进行商业交易的基本方法，例如在线银行。

有关详细信息，请参见：http : //www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx

顺便说一下，参与创建Puppy Linux的人都不认为它是“玩具发行版”。

我从未听说过Puppy Linux在以节俭的方式使用6年后会受到损害。我认为这是因为Puppy在大多数服务关闭的情况下运行（尝试使用Shields Up之类的Web安全站点。作为Linux Educator的一部分，我已经进行了广泛的安全测试，并且发现Puppy甚至比Ubuntu更安全。根源是由于上述服务原因。当然，如果您使用浏览器作为运行CD的小狗运行remaster，则它非常安全（在Web上未安装硬盘驱动器）。这是警方建议的方法遍布全球的安全系统。