Login
Newsletter
Werbung

Fr, 2. November 2018, 12:54

Software::Distributionen

CLIP OS v5 Alpha vorgestellt

CLIP OS, ein Projekt der französischen Sicherheitsbehörde ANSSI, ist jetzt erstmals öffentlich verfügbar. CLIP OS will Anwendungen so stark voneinander isolieren, dass sogar verschiedene Stufen der Vertraulichkeit und mehrere Benutzer mit unterschiedlichen Berechtigungen auf einem System existieren können.

Architektur von CLIP OS v5

clip-os.org

Architektur von CLIP OS v5

Anwendungen zur Erhöhung der Sicherheit voneinander zu isolieren, um die Sicherheit, ist keine ganz neue Idee. Bekannt wurde sie mit Qubes OS, das Anwendungen oder Gruppen von Anwendungen in virtuellen Maschinen betreibt und sie damit voneinander isoliert. Noch einige Jahre vor Qubes OS nahm CLIP OS seinen Anfang, das jedoch der Öffentlichkeit unbekannt blieb, weil es intern bei der französischen Sicherheitsbehörde ANSSI entwickelt wurde. CLIP OS beruht auf Linux und Containern und wurde entwickelt, um französischen Behörden ein besonders sicheres System zu bieten.

CLIP OS wurde vor einigen Wochen von der ANSSI geöffnet. CLIP OS v4 ist laut den Entwicklern das Resultat der mehr als zehnjährigen bisherigen Arbeit an CLIP OS. Diese Version wird im Quellcode bereitgestellt, der jedoch nur als Referenz dienen soll und kein lauffähiges System ergibt. CLIP OS v4 enthält einige Komponenten und Patches, die nach Ansicht der Entwickler zur Erhöhung der Sicherheit auch außerhalb des CLIP OS-Projekts auf Interesse stoßen sollten. Da aber die meisten Dokumente über CLIP OS v4 nur auf Französisch vorliegen, sind Interessenten, die kein Französisch beherrschen, im Nachteil.

Besser ist die Situation bei CLIP OS v5, das noch in Entwicklung ist und jetzt als Alphaversion vorgestellt wurde, um in Zukunft als offenes Projekt weitergeführt zu werden. Wie sein Vorgänger beruht es auf Hardened Gentoo und weist laut den Entwicklern Ähnlichkeiten mit Chromium OS und Yocto auf. Der Quellcode der CLIP OS-spezifischen Komponenten steht überwiegend unter der LGPL v2.1.

CLIP OS v5 ist in Englisch dokumentiert und kann aus dem Quellcode compiliert werden. Allerdings lässt es, da es eine Alphaversion ist, noch viele Eigenschaften von v4 vermissen. Zu diesen Eigenschaften, die in dieser Form in keiner anderen Linux-Distribution zu finden sind, gehörten die Unterstützung mehrerer Vertraulichkeitsstufen, Beschränkung der Administrator-Rechte, so dass nicht einmal ein Administrator Zugriff auf die Daten der Benutzer hat, vollständig automatisierte Erstellung der System-Images aus dem Quellcode und Möglichkeiten zur tiefen Integration in die Umgebung.

Die weitere Entwicklung von CLIP OS wird von der ANSSI vorangetrieben, beteiligen kann sich jetzt allerdings jeder. Zu den bereits implementierten Neuerungen gehören die systemweit eingeschalteten Schutzmaßnahmen der Dateisystem-Integrität (nicht schreibbare Root-Partition und Einschränkung der Bind-Mounts), die systemweite strikte Trennung zwischen Anwendungen und Systemdaten und Unterstützung für UEFI Secure Boot.

Zur Zeit ist die Betaversion in Entwicklung. Auf dem Plan stehen atomare System-Updates, die zwei alternierende Root-Partitionen vorsehen, Festplattenverschlüsselung mit LUKS2, DM-Crypt oder DM-Integrity, optionale Verschlüsselung der Root-Partition, Verschlüsselung aller schreibbaren System-Partitionen, Nutzung von TPM für die Festplattenverschlüsselung, Erstellung eines Schlüssels, mit dem der Administrator eine Wiederherstellung durchführen kann, Isolierung der Systemdienste mit Hilfe von Systemd, Firewall-Regeln für die Systemdienste, Isolierung der Anwendung mit Flatpak, eine vertrauenswürdige grafische Umgebung auf Wayland-Basis und die Rückkehr der verschiedenen Vertraulichkeits- und Berechtigungsebenen, die sich auch auf die Kommunikation zwischen Anwendungen und den Zugriff auf Geräte (von Druckern über USB-Sticks bis Mikrofonen) erstrecken.

Der Quellcode von CLIP OS v5 ist auf Github erhältlich, wo auch die Zusammenarbeit bei der Entwicklung stattfindet. Eine Menge an Dokumentation sowie die Anleitung zum Bauen des Systems ist auf docs.clip-os.org bereits erhältlich.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung