mirror of
https://github.com/privacyguides/privacyguides.org.git
synced 2025-07-28 22:31:07 +00:00
Download Translations from Crowdin (#2054)
This commit is contained in:
Crowdin Bot
135
i18n/zh/os/android-overview.md
Normal file
135
i18n/zh/os/android-overview.md
Normal file
@@ -0,0 +1,135 @@
|
||||
---
|
||||
title: Android概述
|
||||
icon: simple/android
|
||||
---
|
||||
|
||||
安卓是一个安全的操作系统,它有强大的[应用程序沙箱](https://source.android.com/security/app-sandbox),[启动时验证](https://source.android.com/security/verifiedboot)(AVB),以及一个强大的[权限](https://developer.android.com/guide/topics/permissions/overview)控制系统。
|
||||
|
||||
## 挑选安卓 ROM
|
||||
|
||||
你买到的安卓手机多半已经预装了能侵犯隐私的应用与服务,而这些服务并不属于 [AOSP](https://source.android.com/)。 例如 Google Play 服务:它有权访问你的文件、联系人、通话记录、短信、定位、相机、麦克风、硬件身份码等。且这些权限无法收回。 这类应用与服务扩大了你的设备的攻击面,也是安卓系统的各种隐私问题的源头。
|
||||
|
||||
换用一个不预装这类软件的安卓 ROM 可以解决这个问题。 不巧,很多安卓 ROM 不支持 AVB、回滚保护、系统更新、等这些关键的安全功能,破坏了安卓的安全模型。 某些 ROM 发布的版本属于 [`userdebug`](https://source.android.com/setup/build/building#choose-a-target) 构建版本。这个版本通过 [ADB](https://developer.android.com/studio/command-line/adb) 来提供 root 访问,并且为了支持调试,[放宽](https://github.com/LineageOS/android_system_sepolicy/search?q=userdebug&type=code)了 SELinux 规则。这进一步扩大了攻击面,弱化了安全模型。
|
||||
|
||||
在挑选安卓 ROM 时,理想的情况,是能找到坚持安卓安全模型的 ROM。 最起码的是,你选用的 ROM 应该提供生产版本(而非 `userdebug`版本)的构建,能支持 AVB、回滚保护、按时推送系统更新、把 SELinux 设为[强制模式](https://source.android.com/security/selinux/concepts#enforcement_levels)。 我们推荐的所有安卓 ROM 都满足上述标准。
|
||||
|
||||
[我们推荐的安卓 ROM :material-arrow-right-drop-circle:](../android.md ""){.md-button}
|
||||
|
||||
## 避免 Root
|
||||
|
||||
[Rooting](https://en.wikipedia.org/wiki/Rooting_(Android)) 安卓手机会大大降低安全性,因为它削弱了完整的 [安卓安全模型](https://en.wikipedia.org/wiki/Android_(operating_system)#Security_and_privacy)。 如果有一个被降低的安全性所帮助的漏洞,这可能会减少隐私。 常见的root方法涉及直接篡改启动分区,使得它不可能成功地进行验证性启动。 需要root的应用程序也会修改系统分区,这意味着验证启动将不得不保持禁用。 在用户界面上直接暴露root也增加了你的设备的 [攻击面](https://en.wikipedia.org/wiki/Attack_surface) ,并可能有助于 [特权升级](https://en.wikipedia.org/wiki/Privilege_escalation) 漏洞和SELinux政策的绕过。
|
||||
|
||||
广告拦截器,修改 [hosts文件](https://en.wikipedia.org/wiki/Hosts_(file)) (AdAway)和防火墙(AFWall+),需要持续的根访问是危险的,不应该被使用。 它们也不是解决其预期目的的正确方法。 对于广告屏蔽,我们建议采用加密的 [DNS](../dns.md) 或 [VPN](../vpn.md) 服务器屏蔽解决方案。 RethinkDNS、TrackerControl和AdAway在非root模式下将占用VPN插槽(通过使用本地环回VPN),使你无法使用增强隐私的服务,如Orbot或真正的VPN服务器。
|
||||
|
||||
AFWall+基于 [包过滤](https://en.wikipedia.org/wiki/Firewall_(computing)#Packet_filter) 方法工作,在某些情况下可能会被绕过。
|
||||
|
||||
我们认为,通过root手机所做的安全牺牲不值得那些应用程序的可疑隐私利益。
|
||||
|
||||
## 已验证的启动
|
||||
|
||||
[经过验证的启动](https://source.android.com/security/verifiedboot) ,是安卓安全模式的一个重要组成部分。 它能够保护您免受 [罪恶的](https://en.wikipedia.org/wiki/Evil_maid_attack) 攻击、恶意软件的持久性,并确保安全更新不能用 [回滚保护降级](https://source.android.com/security/verifiedboot/verified-boot#rollback-protection)
|
||||
|
||||
安卓10及以上版本已经从全盘加密转向更灵活的 [基于文件的加密](https://source.android.com/security/encryption/file-based)。 你的数据使用独特的加密密钥进行加密,而操作系统文件则不被加密。
|
||||
|
||||
验证启动确保了操作系统文件的完整性,从而防止有物理访问权限的对手在设备上篡改或安装恶意软件。 在不太可能的情况下,如果恶意软件能够利用系统的其他部分并获得更高的特权访问,验证性启动将防止并在重启设备时恢复对系统分区的更改。
|
||||
|
||||
遗憾的是,OEM厂商只有在其库存的安卓系统上才有义务支持验证性启动。 只有少数OEM厂商,如谷歌,支持在他们的设备上定制AVB密钥注册。 此外,一些AOSP衍生产品,如LineageOS或/e/ OS,即使在对第三方操作系统有验证启动支持的硬件上也不支持验证启动。 我们建议你在</strong> 购买新设备之前,先查看支持 **。 不支持验证性启动的AOSP衍生产品是 **,不推荐**。</p>
|
||||
|
||||
许多原始设备制造商也有破碎的实施验证启动,你必须注意他们的营销之外。 例如,Fairphone 3和4在默认情况下是不安全的,因为 [股票引导程序信任公共AVB签名密钥](https://forum.fairphone.com/t/bootloader-avb-keys-used-in-roms-for-fairphone-3-4/83448/11)。 这破坏了Fairphone设备上的验证引导,因为系统将引导替代Android操作系统(如/e/) [,而没有任何关于自定义操作系统使用的警告](https://source.android.com/security/verifiedboot/boot-flow#locked-devices-with-custom-root-of-trust) 。
|
||||
|
||||
## 固件更新
|
||||
|
||||
固件更新是维护安全的关键,没有它们,你的设备就不可能是安全的。 原始设备制造商与他们的合作伙伴有支持协议,在有限的支持期内提供闭源组件。 这些内容详见每月的 [Android安全公告](https://source.android.com/security/bulletin)。
|
||||
|
||||
由于手机的组件,如处理器和无线电技术依赖于闭源组件,更新必须由各自的制造商提供。 因此,重要的是,你要在一个有效的支持周期内购买设备。 [高通公司](https://www.qualcomm.com/news/releases/2020/12/16/qualcomm-and-google-announce-collaboration-extend-android-os-support-and) 和 [三星](https://news.samsung.com/us/samsung-galaxy-security-extending-updates-knox/) ,对其设备的支持期为4年,而便宜的产品往往支持周期更短。 随着 [Pixel 6](https://support.google.com/pixelphone/answer/4457705)的推出,谷歌现在制造自己的SoC,他们将提供至少5年的支持。
|
||||
|
||||
不再受SoC制造商支持的EOL设备无法从OEM供应商或后市场Android分销商处获得固件更新。 这意味着这些设备的安全问题将继续得不到解决。
|
||||
|
||||
例如,Fairphone在市场上宣传他们的设备可以获得6年的支持。 然而,SoC(Fairphone 4上的高通骁龙750G)的EOL日期要短得多。 这意味着高通公司为Fairphone 4提供的固件安全更新将在2023年9月结束,无论Fairphone是否继续发布软件安全更新。
|
||||
|
||||
## Android 版本
|
||||
|
||||
重要的是,不要使用 [报废的](https://endoflife.date/android) 版本的Android。 较新版本的安卓系统不仅会收到操作系统的安全更新,也会收到重要的隐私增强更新。 例如, [,在Android 10之前](https://developer.android.com/about/versions/10/privacy/changes),任何具有 [`READ_PHONE_STATE`](https://developer.android.com/reference/android/Manifest.permission#READ_PHONE_STATE) 权限的应用程序都可以访问你的手机的敏感和独特的序列号,如 [IMEI](https://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity), [MEID](https://en.wikipedia.org/wiki/Mobile_equipment_identifier),你的SIM卡的 [IMSI](https://en.wikipedia.org/wiki/International_mobile_subscriber_identity),而现在他们必须是系统应用程序才能这样做。 系统应用只由OEM或安卓发行提供。
|
||||
|
||||
## Android 权限
|
||||
|
||||
[Android上的权限](https://developer.android.com/guide/topics/permissions/overview) ,让你控制哪些应用程序被允许访问。 谷歌定期在每个连续的版本中对权限系统进行 [改善](https://developer.android.com/about/versions/11/privacy/permissions)。 你安装的所有应用程序都是严格的 [沙箱](https://source.android.com/security/app-sandbox),因此,没有必要安装任何杀毒软件。 使用最新版本的安卓系统的智能手机永远比使用付费杀毒软件的旧智能手机更安全。 最好不要为杀毒软件付费,省下钱来买一部新的智能手机,如谷歌Pixel。
|
||||
|
||||
如果你想运行一个你不确定的应用程序,考虑使用用户或工作档案。
|
||||
|
||||
## 媒体访问
|
||||
|
||||
相当多的应用程序允许你与他们 "共享 "一个文件进行媒体上传。 例如,如果你想在推特上发布一张图片,不要授予推特对你的 "媒体和照片 "的访问权,因为那时它就可以访问你所有的图片。 相反,去你的文件管理器(documentsUI),按住图片,然后与Twitter分享。
|
||||
|
||||
## 用户资料
|
||||
|
||||
多个用户配置文件可以在 **设置** → **系统** → **多个用户** ,是Android中最简单的隔离方式。
|
||||
|
||||
通过用户个人资料,你可以对一个特定的个人资料施加限制,如:打电话、使用短信或在设备上安装应用程序。 每个用户资料使用自己的加密密钥进行加密,不能访问任何其他人的个人资料。 即使是设备所有者,如果不知道他们的密码,也不能查看其他人的个人资料。 多个个人资料是一种更安全的隔离方法。
|
||||
|
||||
## 工作身份
|
||||
|
||||
[工作配置文件](https://support.google.com/work/android/answer/6191949) 是隔离单个应用程序的另一种方式,可能比单独的用户配置文件更方便。
|
||||
|
||||
在没有企业MDM的情况下,需要一个 **设备控制器** 应用程序,如 [Shelter](#recommended-apps) ,以创建一个工作档案,除非你使用的是包括一个自定义的Android操作系统。
|
||||
|
||||
该工作档案依赖于设备控制器来运作。 诸如 *文件穿梭* 和 *接触搜索封锁* 或任何种类的隔离功能必须由控制器实现。 你还必须完全信任设备控制器应用程序,因为它可以完全访问你在工作档案中的数据。
|
||||
|
||||
这种方法通常不如二级用户配置文件安全;但是,它确实允许你在工作和个人配置文件中同时运行应用程序的便利。
|
||||
|
||||
## VPN Killswitch
|
||||
|
||||
Android 7及更高版本支持VPN killswitch ,无需安装第三方应用程序即可使用。 如果VPN断开连接,此功能可以防止泄漏。 可以在 :gear: **设置** → **网络 & 互联网** → **VPN** → :gear: → **阻止没有VPN的连接**。
|
||||
|
||||
## 全局切换
|
||||
|
||||
现代安卓设备有全局切换键,用于禁用蓝牙和定位服务。 安卓12引入了相机和麦克风的切换功能。 在不使用时,我们建议禁用这些功能。 在重新启用之前,应用程序不能使用被禁用的功能(即使被授予个别许可)。
|
||||
|
||||
## 谷歌
|
||||
|
||||
如果你使用的是带有谷歌服务的设备,无论是你的原生操作系统还是像GrapheneOS这样的安全沙盒式的操作系统,你可以做一些额外的改变来改善你的隐私。 我们仍然建议完全避免使用谷歌服务,或者通过将 *Shelter* 等设备控制器与GrapheneOS的沙盒化谷歌游戏结合起来,将谷歌游戏服务限制在特定的用户/工作档案中。
|
||||
|
||||
### 高级保护计划
|
||||
|
||||
如果你有一个谷歌账户,我们建议注册 [高级保护计划](https://landing.google.com/advancedprotection/)。 任何拥有两个或更多支持 [FIDO](../basics/multi-factor-authentication.md#fido-fast-identity-online) 的硬件安全密钥的人都可以免费使用。
|
||||
|
||||
高级保护计划提供增强的威胁监控,并支持:
|
||||
|
||||
- </strong> 更严格的双因素认证;例如,必须使用 [FIDO](../basics/multi-factor-authentication.md#fido-fast-identity-online) **,不允许使用 [SMS OTPs](../basics/multi-factor-authentication.md#sms-or-email-mfa), [TOTP](../basics/multi-factor-authentication.md#time-based-one-time-password-totp) 和 [OAuth](https://en.wikipedia.org/wiki/OAuth)。</li>
|
||||
- 只有谷歌和经过验证的第三方应用程序可以访问账户数据
|
||||
- 在 Gmail 帐户上扫描收到的邮件以进行 [钓鱼](https://en.wikipedia.org/wiki/Phishing#Email_phishing) 尝试
|
||||
- 更严格的 [安全的浏览器扫描](https://www.google.com/chrome/privacy/whitepaper.html#malware) 与谷歌浏览器
|
||||
- 对丢失凭证的账户有更严格的恢复程序
|
||||
|
||||
如果你使用非沙盒式的Google Play服务(在股票操作系统上很常见),高级保护计划还带有 [额外的好处](https://support.google.com/accounts/answer/9764949?hl=en) ,例如。
|
||||
|
||||
- 不允许在Google Play商店、操作系统供应商的应用程序商店之外安装应用程序,或通过 [`adb`](https://en.wikipedia.org/wiki/Android_Debug_Bridge)
|
||||
- 强制性的自动设备扫描与 [Play Protect](https://support.google.com/googleplay/answer/2812853?hl=en#zippy=%2Chow-malware-protection-works%2Chow-privacy-alerts-work)
|
||||
- 警告你有未经验证的应用程序</ul>
|
||||
|
||||
### Google Play 系统更新
|
||||
|
||||
在过去,安卓系统的安全更新必须由操作系统供应商来提供。 从安卓10开始,安卓变得更加模块化,谷歌可以通过特权游戏服务推送安全更新, **一些** 系统组件。
|
||||
|
||||
如果你有一个以安卓10或以上系统出厂的EOL设备,并且无法在你的设备上运行我们推荐的任何操作系统,你很可能最好坚持使用你的OEM安卓安装(而不是这里没有列出的操作系统,如LineageOS或/e/ OS)。 这将允许你从谷歌获得 **,一些** 安全修复,同时不会因为使用不安全的安卓衍生产品而违反安卓安全模式,增加你的攻击面。 我们仍然建议尽快升级到支持的设备。
|
||||
|
||||
### 广告 ID
|
||||
|
||||
所有安装了Google Play服务的设备都会自动生成一个 [广告ID](https://support.google.com/googleplay/android-developer/answer/6048248?hl=en) ,用于定向广告。 禁用此功能以限制收集到的关于你的数据。
|
||||
|
||||
在带有 [Sandboxed Google Play](https://grapheneos.org/usage#sandboxed-google-play)的安卓发行上,进入 :gear: **设置** → **应用程序** → **Sandboxed Google Play** → **谷歌设置** → **广告**,并选择 *删除广告 ID*。
|
||||
|
||||
在拥有特权的谷歌游戏服务的安卓发行版上(如股票操作系统),该设置可能在几个位置之一。 查看
|
||||
|
||||
- :gear: **设置** → **谷歌** → **广告**
|
||||
- :gear: **设置** → **隐私** → **广告**
|
||||
|
||||
你可以选择删除你的广告ID,或者 *,选择退出基于兴趣的广告*,这在安卓的OEM发行中是不同的。 如果呈现出删除广告ID的选项,那是首选。 如果没有,那么请确保选择退出并重新设置你的广告ID。
|
||||
|
||||
### SafetyNet和Play Integrity API
|
||||
|
||||
[安全网](https://developer.android.com/training/safetynet/attestation) 和 [Play Integrity APIs](https://developer.android.com/google/play/integrity) ,一般用于 [银行应用程序](https://grapheneos.org/usage#banking-apps)。 许多银行应用程序在GrapheneOS中使用沙盒游戏服务可以正常工作,但是一些非金融应用程序有自己的粗略防篡改机制,可能会失败。 GrapheneOS通过了 `basicIntegrity` 检查,但没有通过认证检查 `ctsProfileMatch`。 安卓8或更高版本的设备有硬件认证支持,如果没有泄露的密钥或严重的漏洞,就无法绕过。
|
||||
|
||||
至于谷歌钱包,我们不推荐这样做,因为他们的 [隐私政策](https://payments.google.com/payments/apis-secure/get_legal_document?ldo=0&ldt=privacynotice&ldl=en),其中规定如果你不希望你的信用等级和个人信息与联盟营销服务共享,你必须选择退出。
|
||||
|
||||
--8<-- "includes/abbreviations.zh.txt"
|
||||
171
i18n/zh/os/linux-overview.md
Normal file
171
i18n/zh/os/linux-overview.md
Normal file
@@ -0,0 +1,171 @@
|
||||
---
|
||||
title: Linux概述
|
||||
icon: simple/linux
|
||||
---
|
||||
|
||||
人们通常认为, [开源](https://en.wikipedia.org/wiki/Open-source_software) 软件本身是安全的,因为源代码是可用的。 预期社区验证会定期进行;但这并不总是 [案例](https://seirdy.one/posts/2022/02/02/floss-security/)。 这确实取决于许多因素,如项目活动、开发人员经验、应用于 [代码审查的严格程度](https://en.wikipedia.org/wiki/Code_review),以及对 [代码库](https://en.wikipedia.org/wiki/Codebase) 的特定部分给予关注的频率,这些部分可能多年未被触及。
|
||||
|
||||
目前,桌面Linux与它们的专利同行相比,确实有一些可以更好地改进的地方,例如:。
|
||||
|
||||
- 一个经过验证的启动链,如苹果的 [安全启动](https://support.apple.com/guide/security/startup-security-utility-secc7b34e5b5/web) (有 [安全飞地](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/1/web/1)),安卓的 [验证启动](https://source.android.com/security/verifiedboot),ChromeOS的 [验证启动](https://www.chromium.org/chromium-os/chromiumos-design-docs/security-overview/#verified-boot),或微软Windows的 [启动过程](https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-windows-10-boot-process) ,有 [TPM](https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/how-windows-uses-the-tpm)。 这些功能和硬件技术都可以帮助防止恶意软件的持续篡改或 [邪恶女仆的攻击](https://en.wikipedia.org/wiki/Evil_Maid_attack)
|
||||
- 一个强大的沙箱解决方案,如在 [macOS](https://developer.apple.com/library/archive/documentation/Security/Conceptual/AppSandboxDesignGuide/AboutAppSandbox/AboutAppSandbox.html), [ChromeOS](https://chromium.googlesource.com/chromiumos/docs/+/HEAD/sandboxing.md),和 [Android](https://source.android.com/security/app-sandbox)。 常用的Linux沙箱解决方案,如 [Flatpak](https://docs.flatpak.org/en/latest/sandbox-permissions.html) 和 [Firejail](https://firejail.wordpress.com/) ,仍然有很长的路要走。
|
||||
- 强大的 [漏洞缓解措施](https://madaidans-insecurities.github.io/linux.html#exploit-mitigations)
|
||||
|
||||
尽管有这些缺点,但如果你想,桌面Linux发行版还是很不错的。
|
||||
|
||||
- 避免专有操作系统中经常出现的遥测现象
|
||||
- 保持 [软件自由](https://www.gnu.org/philosophy/free-sw.en.html#four-freedoms)
|
||||
- 有关注隐私的系统,如 [Whonix](https://www.whonix.org) 或 [Tails](https://tails.boum.org/)
|
||||
|
||||
我们的网站通常使用术语 "Linux "来描述桌面Linux发行版。 其他也使用Linux内核的操作系统,如ChromeOS、Android和Qubes OS,这里不作讨论。
|
||||
|
||||
[我们的Linux推荐 :material-arrow-right-drop-circle:](../desktop.md ""){.md-button}
|
||||
|
||||
## 选择您的发行版
|
||||
|
||||
并非所有的 Linux 发行版都是相同的。 虽然我们的Linux推荐页面并不是要成为你应该使用哪个发行版的权威来源,但在选择使用哪个发行版时,有几件事你应该记住。
|
||||
|
||||
### 发布周期
|
||||
|
||||
我们强烈建议你选择与稳定的上游软件版本接近的发行版,通常被称为滚动发行版。 这是因为冻结发布周期的发行版往往不更新软件包版本,并且在安全更新方面落后。
|
||||
|
||||
对于冻结的发行版,如 [Debian](https://www.debian.org/security/faq#handling),软件包维护者被要求回传补丁来修复漏洞,而不是将软件提升到上游开发者发布的 "下一个版本"。 </a> 有些安全补丁
|
||||
|
||||
,根本没有收到 [CVE](https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures) (特别是不太流行的软件),因此在这种补丁模式下,不能进入发行版。 因此,小的安全修复有时会被推迟到下一个主要版本。</p>
|
||||
|
||||
我们不认为保留软件包和应用临时补丁是一个好主意,因为它偏离了开发者可能打算让软件工作的方式。 [理查德-布朗](https://rootco.de/aboutme/) ,有一个关于这个问题的介绍。
|
||||
|
||||
<div class="yt-embed">
|
||||
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/i8c0mg_mS7U?local=true" title="定期发布是错误的,为你的生活而滚动" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
|
||||
</div>
|
||||
|
||||
### 传统vs原子更新
|
||||
|
||||
传统上,Linux发行版的更新方式是依次更新所需的软件包。 如果在更新时发生错误,传统的更新,如基于Fedora、Arch Linux和Debian的发行版中使用的更新,可能不太可靠。
|
||||
|
||||
原子更新发行版完全或根本不应用更新。 通常情况下,事务性更新系统也是原子性的。
|
||||
|
||||
事务性更新系统创建了一个快照,在应用更新之前和之后进行。 如果更新在任何时候失败(也许是由于电源故障),更新可以很容易地回滚到 "最后已知良好状态"。
|
||||
|
||||
原子更新法用于Silverblue、Tumbleweed和NixOS等不可变的发行版,可以通过这种模式实现可靠性。 [Adam Šamalík](https://twitter.com/adsamalik) 提供了一个关于 `rpm-ostree` 如何与Silverblue一起工作的演讲。
|
||||
|
||||
<div class="yt-embed">
|
||||
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/-hpV5l-gJnQ?local=true" title="让我们试试Fedora Silverblue--一个不可改变的桌面操作系统! - Adam Šamalik" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
|
||||
</div>
|
||||
|
||||
### “以安全为重点”的分发
|
||||
|
||||
通常在“以安全为中心”的发行版和“渗透测试”发行版之间存在一些混淆。 快速搜索“最安全的Linux发行版”通常会得到像Kali Linux , Black Arch和Parrot OS这样的结果。 这些发行版是攻击性的渗透测试发行版,捆绑了测试其他系统的工具。 它们不包括任何 "额外的安全 "或用于常规使用的防御性缓解措施。
|
||||
|
||||
|
||||
|
||||
### 基于Arch的发行版
|
||||
|
||||
基于Arch的发行版不推荐给那些刚接触Linux的人,(无论哪个发行版),因为它们需要定期进行 [系统维护](https://wiki.archlinux.org/title/System_maintenance)。 Arch没有底层软件选择的分发更新机制。 因此,你必须保持对当前趋势的了解,并在技术取代旧有做法时自行采用。
|
||||
|
||||
对于一个安全的系统,你还应该有足够的Linux知识来为他们的系统正确设置安全,如采用 [强制性访问控制](https://en.wikipedia.org/wiki/Mandatory_access_control) 系统,设置 [内核模块](https://en.wikipedia.org/wiki/Loadable_kernel_module#Security) 黑名单,硬化启动参数,操作 [sysctl](https://en.wikipedia.org/wiki/Sysctl) 参数,并知道他们需要哪些组件,如 [Polkit](https://en.wikipedia.org/wiki/Polkit)。
|
||||
|
||||
任何使用 [Arch User Repository (AUR)](https://wiki.archlinux.org/title/Arch_User_Repository), **的人必须** ,对他们从该服务中安装的PKGBUILD进行审计。 AUR软件包是社区制作的内容,没有经过任何审查,因此很容易受到软件供应链的攻击,事实上在过去已经发生了 [](https://www.bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository/)。 AUR总是应该少用,而且往往在各种网页上有很多不好的建议,指导人们盲目地使用 [AUR帮助器](https://wiki.archlinux.org/title/AUR_helpers) ,而没有足够的警告。 类似的警告也适用于在基于Debian的发行版上使用第三方个人软件包档案(PPAs)或在Fedora上使用社区项目(COPR)。
|
||||
|
||||
如果你对Linux有经验,并希望使用基于Arch的发行版,我们只推荐主线Arch Linux,而不是它的任何衍生品。 我们特别建议不要使用这两种Arch衍生品。
|
||||
|
||||
- **Manjaro**: 这个发行版将软件包保留2周,以确保他们自己的修改不会破坏,而不是确保上游的稳定。 当使用AUR软件包时,它们通常是根据Arch的软件库中最新的 [库构建的](https://en.wikipedia.org/wiki/Library_(computing))。
|
||||
- **Garuda**: 他们使用 [Chaotic-AUR](https://aur.chaotic.cx/) ,它自动地、盲目地从AUR编译软件包。 没有验证过程来确保AUR包不会受到供应链的攻击。
|
||||
|
||||
|
||||
|
||||
### Kicksecure
|
||||
|
||||
虽然我们强烈建议不要使用像Debian这样的过时的发行版,但有一种基于Debian的操作系统已经被加固,比典型的Linux发行版要安全得多。 [Kicksecure](https://www.kicksecure.com/)。 Kicksecure,简单地说,是一组脚本、配置和软件包,可以大大减少 Debian 的攻击面。 它默认涵盖了大量的隐私和加固建议。
|
||||
|
||||
|
||||
|
||||
### Linux-libre内核和“Libre”发行版
|
||||
|
||||
</strong> 我们强烈建议 **,不要使用Linux-libre内核,因为它 [,删除了安全缓解措施](https://www.phoronix.com/scan.php?page=news_item&px=GNU-Linux-Libre-5.7-Released) ,并且 [,出于意识形态的原因,抑制了内核对脆弱微码的警告](https://news.ycombinator.com/item?id=29674846)。</p>
|
||||
|
||||
|
||||
|
||||
## 一般建议
|
||||
|
||||
|
||||
|
||||
### 驱动器加密
|
||||
|
||||
大多数Linux发行版在其安装程序中都有一个选项用于启用 [LUKS](../encryption.md#linux-unified-key-setup) FDE。 如果在安装时没有设置这个选项,你将不得不备份你的数据并重新安装,因为加密是在 [磁盘分区](https://en.wikipedia.org/wiki/Disk_partitioning),但在 [文件系统](https://en.wikipedia.org/wiki/File_system) 被格式化之前应用。 我们还建议安全地删除你的存储设备。
|
||||
|
||||
- [安全数据清除 :material-arrow-right-drop-circle:](https://blog.privacyguides.org/2022/05/25/secure-data-erasure/)
|
||||
|
||||
|
||||
|
||||
### Swap
|
||||
|
||||
考虑使用 [ZRAM](https://wiki.archlinux.org/title/Swap#zram-generator) 或 [加密的交换空间](https://wiki.archlinux.org/title/Dm-crypt/Swap_encryption) ,而不是未加密的交换空间,以避免敏感数据被推送到 [交换空间](https://en.wikipedia.org/wiki/Memory_paging)的潜在安全问题。 基于Fedora的发行版 [,默认使用ZRAM](https://fedoraproject.org/wiki/Changes/SwapOnZRAM)。
|
||||
|
||||
|
||||
|
||||
### Wayland
|
||||
|
||||
我们建议使用支持 [Wayland](https://en.wikipedia.org/wiki/Wayland_(display_server_protocol)) 显示协议的桌面环境,因为它的开发考虑到了安全 [](https://lwn.net/Articles/589147/)。 其前身 [X11](https://en.wikipedia.org/wiki/X_Window_System),不支持GUI隔离,允许所有窗口 [,记录屏幕、日志和注入其他窗口的输入](https://blog.invisiblethings.org/2011/04/23/linux-security-circus-on-gui-isolation.html),使任何沙箱的尝试都是徒劳的。 虽然有一些选项可以做嵌套的X11,比如 [Xpra](https://en.wikipedia.org/wiki/Xpra) 或 [Xephyr](https://en.wikipedia.org/wiki/Xephyr),但它们往往会带来负面的性能后果,而且设置起来也不方便,比起Wayland来并不可取。
|
||||
|
||||
幸运的是,常见的环境,如 [GNOME](https://www.gnome.org), [KDE](https://kde.org),以及窗口管理器 [Sway](https://swaywm.org) 都支持 Wayland。 一些发行版如Fedora和Tumbleweed默认使用它,其他一些发行版可能在未来也会这样做,因为X11处于 [hard maintenance mode](https://www.phoronix.com/scan.php?page=news_item&px=X.Org-Maintenance-Mode-Quickly)。 如果你使用的是这些环境之一,就像在桌面显示管理器中选择 "Wayland "会话一样简单([GDM](https://en.wikipedia.org/wiki/GNOME_Display_Manager), [SDDM](https://en.wikipedia.org/wiki/Simple_Desktop_Display_Manager)) 。
|
||||
|
||||
</strong> 我们建议 **,反对使用没有Wayland支持的桌面环境或窗口管理器,如Cinnamon(Linux Mint的默认)、Pantheon(Elementary OS的默认)、MATE、Xfce和i3。</p>
|
||||
|
||||
|
||||
|
||||
### 专有固件(Microcode更新)
|
||||
|
||||
Linux发行版,如那些 [Linux-libre](https://en.wikipedia.org/wiki/Linux-libre) 或DIY(Arch Linux),不附带专有的 [微码](https://en.wikipedia.org/wiki/Microcode) 更新,而这些更新通常会修补漏洞。 这些漏洞的一些明显例子包括: [Spectre](https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)), [Meltdown](https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)), [SSB](https://en.wikipedia.org/wiki/Speculative_Store_Bypass), [Foreshadow](https://en.wikipedia.org/wiki/Foreshadow), [MDS](https://en.wikipedia.org/wiki/Microarchitectural_Data_Sampling), [SWAPGS](https://en.wikipedia.org/wiki/SWAPGS_(security_vulnerability)), 以及其他 [硬件漏洞](https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/index.html)。
|
||||
|
||||
我们 **,强烈建议** ,安装微码更新,因为你的CPU在出厂时已经在运行专有的微码。 Fedora和openSUSE都有默认应用的微码更新。
|
||||
|
||||
|
||||
|
||||
### 更新
|
||||
|
||||
大多数Linux发行版会自动安装更新或提醒你这样做。 重要的是保持你的操作系统是最新的,这样当发现漏洞时,你的软件就会打上补丁。
|
||||
|
||||
一些发行版(尤其是那些针对高级用户的发行版)更加简陋,希望你能自己做一些事情(例如Arch或Debian)。 这些将需要手动运行 "软件包管理器" (`apt`, `pacman`, `dnf`, 等等),以便接收重要的安全更新。
|
||||
|
||||
此外,一些发行版将不会自动下载固件更新。 为此,你将需要安装 [`fwupd`](https://wiki.archlinux.org/title/Fwupd)。
|
||||
|
||||
|
||||
|
||||
## 隐私调整
|
||||
|
||||
|
||||
|
||||
### MAC地址随机化
|
||||
|
||||
许多桌面Linux发行版(Fedora、openSUSE等)将自带 [NetworkManager](https://en.wikipedia.org/wiki/NetworkManager),以配置以太网和Wi-Fi设置。
|
||||
|
||||
在使用NetworkManager时,可以随机化 [](https://fedoramagazine.org/randomize-mac-address-nm/) [MAC地址](https://en.wikipedia.org/wiki/MAC_address)。 这在Wi-Fi网络上提供了更多的隐私,因为它使你更难追踪你所连接的网络上的特定设备。 它并不是 [****](https://papers.mathyvanhoef.com/wisec2016.pdf) 让你匿名。
|
||||
|
||||
我们建议将设置改为 **随机** ,而不是 **稳定**,正如 [文章中建议的那样](https://fedoramagazine.org/randomize-mac-address-nm/)。
|
||||
|
||||
如果你使用 [systemd-networkd](https://en.wikipedia.org/wiki/Systemd#Ancillary_components),你需要设置 [`MACAddressPolicy=random`](https://www.freedesktop.org/software/systemd/man/systemd.link.html#MACAddressPolicy=) ,这将启用 [RFC 7844 (Anonymity Profiles for DHCP Clients)](https://www.freedesktop.org/software/systemd/man/systemd.network.html#Anonymize=)。
|
||||
|
||||
对以太网连接的MAC地址进行随机化的意义不大,因为系统管理员可以通过查看你在 [网络交换机上使用的端口找到你](https://en.wikipedia.org/wiki/Network_switch)。 随机化Wi-Fi MAC地址取决于Wi-Fi固件的支持。
|
||||
|
||||
|
||||
|
||||
### 其他标识符
|
||||
|
||||
还有一些其他的系统标识符,你可能要小心对待。 你应该考虑一下,看看它是否适用于你的 [威胁模型](../basics/threat-modeling.md)。
|
||||
|
||||
- **主机名。** 你的系统的主机名是与你所连接的网络共享的。 你应该避免在你的主机名中包括像你的名字或操作系统这样的识别术语,而是坚持使用通用术语或随机字符串。
|
||||
- **用户名。** 同样地,你的用户名在你的系统中以各种方式使用。 考虑使用 "用户 "这样的通用术语,而不是你的真实姓名。
|
||||
- **机器ID:**:在安装过程中,会生成一个独特的机器ID并存储在你的设备上。 考虑 [,将其设置为一个通用的ID](https://madaidans-insecurities.github.io/guides/linux-hardening.html#machine-id)。
|
||||
|
||||
|
||||
|
||||
### 系统计数
|
||||
|
||||
Fedora 项目 [通过使用一个 [`countme`](https://fedoraproject.org/wiki/Changes/DNF_Better_Counting#Detailed_Description) 变量而不是唯一的 ID 来计算](https://fedoraproject.org/wiki/Changes/DNF_Better_Counting) 有多少独特的系统访问它的镜像。 Fedora这样做是为了确定负载并在必要时为更新提供更好的服务器。
|
||||
|
||||
这个 [选项](https://dnf.readthedocs.io/en/latest/conf_ref.html#options-for-both-main-and-repo) ,目前默认是关闭的。 我们建议将 `countme=false` 添加到 `/etc/dnf/dnf.conf` ,以备将来启用它。 在使用 `rpm-ostree` 的系统上,如Silverblue,通过屏蔽 [rpm-ostree-countme](https://fedoramagazine.org/getting-better-at-counting-rpm-ostree-based-systems/) 计时器来禁用 countme 选项。
|
||||
|
||||
openSUSE 还使用一个 [唯一的 ID](https://en.opensuse.org/openSUSE:Statistics) 来计算系统,可以通过删除 `/var/lib/zypp/AnonymousUniqueId` 文件来禁用它。
|
||||
|
||||
--8<-- "includes/abbreviations.zh.txt"
|
||||
60
i18n/zh/os/qubes-overview.md
Normal file
60
i18n/zh/os/qubes-overview.md
Normal file
@@ -0,0 +1,60 @@
|
||||
---
|
||||
title: "Qubes概述"
|
||||
icon: simple/qubesos
|
||||
---
|
||||
|
||||
[**Qubes OS**](../desktop.md#qubes-os) 是一个操作系统,它使用 [Xen](https://en.wikipedia.org/wiki/Xen) 管理程序,通过隔离的虚拟机为桌面计算提供强大的安全性。 每个虚拟机被称为 *Qube* ,你可以根据它的目的给每个Qube分配一个信任等级。 由于Qubes操作系统通过使用隔离来提供安全,并且只允许在每个案例的基础上进行操作,它与 [坏性枚举](https://www.ranum.com/security/computer_security/editorials/dumb/)。
|
||||
|
||||
## Qubes操作系统是如何工作的?
|
||||
|
||||
Qubes使用 [分区](https://www.qubes-os.org/intro/) ,以保持系统的安全性。 Qubes是由模板创建的,默认的是Fedora、Debian和 [Whonix](../desktop.md#whonix)。 Qubes OS还允许你创建一次使用的 [一次性的](https://www.qubes-os.org/doc/how-to-use-disposables/) 虚拟机。
|
||||
|
||||
|
||||
<figcaption>Qubes架构,信用:什么是Qubes操作系统介绍</figcaption>
|
||||
|
||||
每个Qubes应用程序都有一个 [色的边框](https://www.qubes-os.org/screenshots/) ,可以帮助你跟踪它所运行的虚拟机。 例如,你可以为你的银行浏览器使用一种特定的颜色,而对一般的不信任的浏览器使用不同的颜色。
|
||||
|
||||
|
||||
<figcaption>Qubes窗口边框,图片来源: Qubes截图</figcaption>
|
||||
|
||||
## 为什么我应该使用Qubes?
|
||||
|
||||
如果你的 [威胁模型](../basics/threat-modeling.md) ,需要强大的分隔和安全,例如你认为你会从不信任的来源打开不信任的文件,那么Qubes OS就很有用。 使用Qubes OS的一个典型原因是打开来自未知来源的文件。
|
||||
|
||||
Qubes操作系统利用 [Dom0](https://wiki.xenproject.org/wiki/Dom0) Xen VM(即 "AdminVM")来控制主机操作系统上的其他客户虚拟机或Qubes。 其他虚拟机在Dom0的桌面环境中显示单个应用程序窗口。 它允许你根据信任程度对窗口进行颜色编码,并以非常细化的控制方式运行可以相互交互的应用程序。
|
||||
|
||||
### 复制和粘贴文本
|
||||
|
||||
你可以 [,使用 `qvm-copy-to-vm` 或下面的说明复制和粘贴文本](https://www.qubes-os.org/doc/how-to-copy-and-paste-text/)。
|
||||
|
||||
1. 按 **Ctrl+C** ,告诉你所在的虚拟机,你想复制一些东西。
|
||||
2. 按 **Ctrl+Shift+C** ,告诉虚拟机将这个缓冲区提供给全局剪贴板。
|
||||
3. 在目标VM中按 **Ctrl+Shift+V** ,使全局剪贴板可用。
|
||||
4. 在目标虚拟机中按 **Ctrl+V** ,以粘贴缓冲区中的内容。
|
||||
|
||||
### 文件交换
|
||||
|
||||
要从一个虚拟机复制和粘贴文件和目录(文件夹)到另一个虚拟机,可以使用选项 **复制到其他AppVM...** 或 **移动到其他AppVM...**。 不同的是, **Move** 选项将删除原始文件。 无论哪种选择都会保护你的剪贴板不被泄露给任何其他Qubes。 这比空运的文件传输更安全,因为空运的计算机仍将被迫解析分区或文件系统。 这一点在跨区拷贝系统中是不需要的。
|
||||
|
||||
??? 信息 "AppVMs或qubes没有自己的文件系统"
|
||||
|
||||
你可以在Qubes之间[复制和移动文件](https://www.qubes-os.org/doc/how-to-copy-and-move-files/)。 当这样做的时候,改变并不是立即进行的,而且在发生事故的情况下可以很容易地撤消。
|
||||
|
||||
### 虚拟机之间的相互作用
|
||||
|
||||
[qrexec框架](https://www.qubes-os.org/doc/qrexec/) 是Qubes的一个核心部分,它允许虚拟机在域之间通信。 它建立在Xen库 *vchan*的基础上,通过策略</a>,促进了
|
||||
|
||||
隔离。</p>
|
||||
|
||||
|
||||
|
||||
## 其它资源
|
||||
|
||||
关于其他信息,我们鼓励你查阅位于 [Qubes OS网站上的大量Qubes OS文档页面](https://www.qubes-os.org/doc/)。 离线拷贝可以从Qubes OS [文档库中下载](https://github.com/QubesOS/qubes-doc)。
|
||||
|
||||
- 开放技术基金。 [*可以说是世界上最安全的操作系统*](https://www.opentech.fund/news/qubes-os-arguably-the-worlds-most-secure-operating-system-motherboard/)
|
||||
- J. 鲁特科夫斯卡。 [*软件区隔与物理分离*](https://invisiblethingslab.com/resources/2014/Software_compartmentalization_vs_physical_separation.pdf)
|
||||
- J. 鲁特科夫斯卡。 [*将我的数字生活划分为安全领域*](https://blog.invisiblethings.org/2011/03/13/partitioning-my-digital-life-into.html)
|
||||
- Qubes OS: [*相关文章*](https://www.qubes-os.org/news/categories/#articles)
|
||||
|
||||
--8<-- "includes/abbreviations.zh.txt"
|
||||
Reference in New Issue
Block a user