Crowdin Bot
24 KiB
title, icon, description, cover
| title | icon | description | cover |
|---|---|---|---|
| Персональный компьютер | simple/linux | Дистрибутивы Linux часто рекомендуются для защиты конфиденциальности и свободы пользователей. | desktop.webp |
Защищает от следующих угроз:
- :material-account-cash: Капитализм слежки{.pg-brown}
Дистрибутивы Linux часто рекомендуются для защиты конфиденциальности и свободы пользователей. Если вы еще не используете Linux, ниже приведены некоторые дистрибутивы, которые мы рекомендуем попробовать, а также несколько общих советов по улучшению конфиденциальности и безопасности, которые применимы ко многим дистрибутивам Linux.
Традиционные дистрибутивы
Fedora Linux
{ align=right }
Fedora Linux — это настольный дистрибутив, который мы рекомендуем людям, не знакомым с Linux. Fedora обычно внедряет новые технологии (например, Wayland и PipeWire) раньше других дистрибутивов. Эти новые технологии часто улучшают безопасность, конфиденциальность и удобство использования в целом.
:octicons-home-16: Домашняя страница{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Документация" } :octicons-heart-16:{ .card-link title="Поддержать" }
Fedora поставляется в двух основных настольных редакциях, Fedora Workstation, использующей рабочий стол GNOME, и Fedora KDE Plasma Desktop, использующей KDE. Исторически Fedora Workstation была более популярна и широко рекомендовалась, но KDE набирает популярность и предлагает более похожий на Windows опыт использования, что может помочь некоторым людям перейти на Linux. Преимущества обеих редакций в плане безопасности и приватности очень схожи, так что выбор сводится в основном к личным предпочтениям.
Fedora имеет [полуплавающий](https://ru.wikipedia.org/wiki/Rolling_release) цикл выпуска. Несмотря на то, что некоторые пакеты, такие как оболочка рабочего стола, замораживаются до следующего выпуска Fedora, большинство пакетов (включая ядро) обновляются часто в течение всего срока жизни релиза. Каждый выпуск Fedora поддерживается в течение одного года, а новая версия выходит каждые 6 месяцев.
openSUSE Tumbleweed
{ align=right }
openSUSE Tumbleweed — стабильный дистрибутив с плавающей системой релизов.
openSUSE Tumbleweed использует Btrfs и Snapper, чтобы обеспечить возможность откатить снимки системы в случае возникновения проблем.
:octicons-home-16: Домашняя страница{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Документация" } :octicons-heart-16:{ .card-link title="Поддержать" }
As with the recommendation to avoid X11 in our criteria for Linux distributions, we recommend avoiding desktop environments that support only the legacy X11 window system (for example, Xfce). Currently, KDE Plasma defaults to X11, but Wayland is supported.
Tumbleweed следует модели плавающего релиза, когда каждое обновление выпускается как снимок дистрибутива. При обновлении системы скачивается новый снимок. Каждый снимок проходит через серию автоматизированных тестов openQA для обеспечения его качества.
Arch Linux
{ align=right }
Arch Linux — это легковесный дистрибутив «собери сам» (DIY): вы получаете только то, что устанавливаете. Более подробную информацию можно найти на их сайте FAQ.
:octicons-home-16: Домашняя страница{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Документация"} :octicons-heart-16:{ .card-link title="Поддержать" }
Arch Linux имеет плавающий цикл релиза. Не существует фиксированного графика релиза, пакеты обновляются очень часто.
Так как это DIY-дистрибутив, вы должны самостоятельно настравивать и обслуживать свою систему. Arch имеет официальный установщик, чтобы немного облегчить процесс установки.
Значительная часть пакетов Arch Linux воспроизводимы1 .
Атомарные дистрибутивы
Атомарные дистрибутивы (также называемые неизменяемыми) — это операционные системы, в которых установка и обновление пакетов происходит путем наложения изменений на основной образ системы, а не внесения изменений напрямую в систему. Преимущества атомарных дистрибутивов — повышенная стабильность и возможность легко откатывать обновления. См. разницу между традиционными и атомарными обновлениями, чтобы получить больше информации.
Fedora Atomic
{ align=right }
Fedora Atomic — это варианты Fedora, которые используют пакетный менеджер rpm-ostree и ориентированы на контейнеризацию и использование Flatpak для настольных приложений. Эти редакции следуют тому же графику релизов, что и Fedora Workstation, получая те же преимущества быстрых обновлений и оставаясь очень близкими к основной версии системы.
:octicons-home-16: Домашняя страница{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Документация" } :octicons-heart-16:{ .card-link title="Поддержать" }
Fedora Atomic поставляется в нескольких различных вариантах в зависимости от того, какую среду рабочего стола вы предпочитаете. Как и в случае с рекомендацией избегать X11 в наших критериях для дистрибутивов Linux, мы рекомендуем избегать версии, которые поддерживают только устаревшую оконную систему X11.
These operating systems differ from Fedora Workstation as they replace the DNF package manager with a much more advanced alternative called rpm-ostree. The rpm-ostree package manager works by downloading a base image for the system, then overlaying packages over it in a git-like commit tree. When the system is updated, a new base image is downloaded and the overlays will be applied to that new image.
After the update is complete, you will reboot the system into the new deployment. rpm-ostree keeps two deployments of the system so that you can easily roll back if something breaks in the new deployment. There is also the option to pin more deployments as needed.
Flatpak is the primary package installation method on these distributions, as rpm-ostree is only meant to overlay packages that cannot stay inside a container on top of the base image.
As an alternative to Flatpaks, there is the option of Toolbx to create Podman containers which mimic a traditional Fedora environment, a useful feature for the discerning developer. These containers share a home directory with the host operating system.
NixOS
{ align=right }
NixOS - это независимый дистрибутив, основанный на пакетном менеджере Nix с акцентом на воспроизводимость и надежность.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Documentation" } :octicons-heart-16:{ .card-link title="Contribute" }
NixOS’s package manager keeps every version of every package in a different folder in the Nix store. Due to this you can have different versions of the same package installed on your system. After the package contents have been written to the folder, the folder is made read-only.
NixOS also provides atomic updates. It first downloads (or builds) the packages and files for the new system generation and then switches to it. There are different ways to switch to a new generation: you can tell NixOS to activate it after reboot, or you can switch to it at runtime. You can also test the new generation by switching to it at runtime, but not setting it as the current system generation. If something breaks during the update process, you can just reboot to return to a working version of your system.
The Nix package manager uses a purely functional language—which is also called Nix—to define packages.
Nixpkgs (the main source of packages) are contained in a single GitHub repository. You can also define your own packages in the same language and then easily include them in your config.
Nix is a source-based package manager; if there’s no pre-built available in the binary cache, Nix will just build the package from source using its definition. It builds each package in a sandboxed pure environment, which is as independent of the host system as possible. Binaries built with this method are reproducible1 .
Дистрибутивы для анонимности
Whonix
{ align=right }
Whonix is based on Kicksecure, a security-focused fork of Debian. It aims to provide privacy, security, and :material-incognito: Anonymity{ .pg-purple } on the internet. Whonix лучше всего использовать в сочетании с Qubes OS.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion Service" } :octicons-info-16:{ .card-link title="Documentation" } :octicons-heart-16:{ .card-link title="Contribute" }
Whonix is meant to run as two virtual machines: a “Workstation” and a Tor “Gateway.” All communications from the Workstation must go through the Tor gateway. This means that even if the Workstation is compromised by malware of some kind, the true IP address remains hidden.
Some of its features include Tor Stream Isolation, keystroke anonymization, encrypted swap, and a hardened memory allocator. Future versions of Whonix will likely include full system AppArmor policies and a sandboxed app launcher to fully confine all processes on the system.
Whonix is best used in conjunction with Qubes. We have a recommended guide on configuring Whonix in conjunction with a VPN ProxyVM in Qubes to hide your Tor activities from your ISP.
Tails
{ align=right }
Tails - это операционная система, основанная на Debian и направляющая все коммуникации через Tor, которая может загружаться практически на любом компьютере с DVD или USB-накопителя или SD-карты. It uses Tor to preserve privacy and :material-incognito: Anonymity{ .pg-purple } while circumventing censorship, and it leaves no trace of itself on the computer it is used on after it is powered off.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Documentation" } :octicons-heart-16:{ .card-link title="Contribute" }
Предупреждение
Tails doesn't erase the video memory when shutting down. When you restart your computer after using Tails, it might briefly display the last screen that was displayed in Tails. If you shut down your computer instead of restarting it, the video memory will erase itself automatically after being unpowered for some time.
Tails is great for counter forensics due to amnesia (meaning nothing is written to the disk); however, it is not a hardened distribution like Whonix. It lacks many anonymity and security features that Whonix has and gets updated much less often (only once every six weeks). A Tails system that is compromised by malware may potentially bypass the transparent proxy, allowing for the user to be deanonymized.
Tails includes uBlock Origin in Tor Browser by default, which may potentially make it easier for adversaries to fingerprint Tails users. Whonix virtual machines may be more leak-proof, however they are not amnesic, meaning data may be recovered from your storage device.
By design, Tails is meant to completely reset itself after each reboot. Encrypted persistent storage can be configured to store some data between reboots.
Дистрибутивы для безопасности
Защищает от следующих угроз:
- :material-bug-outline: Пассивные атаки{.pg-orange}
Qubes OS
{ align=right }
Qubes OS is an open-source operating system designed to provide strong security for desktop computing through secure virtual machines (or "qubes"). Qubes is based on Xen, the X Window System, and Linux. It can run most Linux applications and use most of the Linux drivers.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion Service" } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title="Documentation" } :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title="Contribute" }
Qubes OS secures the computer by isolating subsystems (e.g., networking, USB, etc.) and applications in separate qubes. Should one part of the system be compromised via an exploit in a :material-target-account: Targeted Attack{.pg-red}, the extra isolation is likely to protect the rest of the qubes and the core system.
For further information about how Qubes works, read our full Qubes OS overview page.
Secureblue
{ align=right }
Secureblue is a security-focused operating system based on Fedora Atomic Desktops. It includes a number of security features intended to proactively defend against the exploitation of both known and unknown vulnerabilities, and ships with Trivalent, their hardened, Chromium-based web browser.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title="Documentation" } :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title="Contribute" }
Trivalent is Secureblue's hardened Chromium for desktop Linux inspired by GrapheneOS's Vanadium browser.
Secureblue also provides GrapheneOS's hardened memory allocator and enables it globally (including for Flatpaks).
Kicksecure
While we recommend against "perpetually outdated" distributions like Debian for desktop use in most cases, Kicksecure is a Debian-based operating system which has been hardened to be much more than a typical Linux install.
{ align=right }
Kicksecure—in oversimplified terms—is a set of scripts, configurations, and packages that substantially reduce the attack surface of Debian. Он охватывает множество рекомендаций по обеспечению конфиденциальности и усилению защиты, без необходимости дополнительной настройки. It also serves as the base OS for Whonix.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title="Documentation" } :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title="Contribute" }
Критерии
Choosing a Linux distro that is right for you will come down to a huge variety of personal preferences, and this page is not meant to be an exhaustive list of every viable distribution. Our Linux overview page has some advice on choosing a distro in more detail. The distros on this page do all generally follow the guidelines we covered there, and all meet these standards:
- Free and open source.
- Receives regular software and kernel updates.
- Avoids X11, as its last major release was more than a decade ago.
- The notable exception here is Qubes, but the isolation issues which X11 typically has are avoided by virtualization. This isolation only applies to apps running in different qubes (virtual machines); apps running in the same qube are not protected from each other.
- Supports full-disk encryption during installation.
- Doesn't freeze regular releases for more than 1 year.
- We recommend against "Long Term Support" or "stable" distro releases for desktop usage.
- Supports a wide variety of hardware.
- Preference towards larger projects.
- Maintaining an operating system is a major challenge, and smaller projects have a tendency to make more avoidable mistakes, or delay critical updates (or worse, disappear entirely). We lean towards projects which will likely be around 10 years from now (whether that's due to corporate backing or very significant community support), and away from projects which are hand-built or have a small number of maintainers.
In addition, our standard criteria for recommended projects still applies. Please note we are not affiliated with any of the projects we recommend.
-
Reproducibility entails the ability to verify that packages and binaries made available to the end user match the source code, which can be useful against potential :material-package-variant-closed-remove: Supply Chain Attacks{.pg-viridian}. ↩︎