Navigation Ouèb ultra-sécurisée

EasyOS a été conçu dès le départ pour utiliser des conteneurs. N'importe quelle application peut être exécutée dans un conteneur, comme Chromium, Firefox ou tout autre navigateur préféré et ainsi, être isolée du reste du système.

Les applications utilisées en conteneur apparaissent sur le bureau sous forme d'icônes avec un symbole de cadenas, comme vous pouvez le voir ici :

Vous pouvez même avoir un bureau complet dans un conteneur, c'est ce que vous offrira un clic sur l'icône «pyro» dans l'image ci-dessus.

L'icône «www» lancera le navigateur Ouèb SeaMonkey et «Console» lancera l'émulateur de terminal Sakura dans un conteneur également.

Vous trouverez les conteneurs faciles à créer et à utiliser, au cours de d'utilisation de EasyOS. Ils offrent en plus la sécurité, bien que la nature même des conteneurs soit de partager les ressources avec le bureau principal, exemple : l'écran, le réseau et le son. Ce partage ou ce manque d'isolement complet signifie que la sécurité n'est pas parfaite.

Tout est relatif bien sûr et la sécurité des conteneurs est certainement un grand pas dans la bonne direction. Cependant, EasyOS  aussi autre chose : l'ISOLEMENT TOTAL ...

L'Isolement Total, la sécurité ultime

Premièrement, de quoi voulez-vous être isolé? Réponse très simple: les disques de votre ordinateur.

Ce que vous voulez, c'est naviguer sur Internet, accéder à un compte bancaire ou quoi que ce soit d'autre, puis arrêter le PC. Sans rien enregistrer, c'est comme si vous n'aviez jamais été là, aucune trace sur les disques durs. Rien ne s'est jamais produit.

Donc, même si vous êtes allé sur un site Ouèb qui a compromis votre système. Après avoir éteint votre ordinateur, l'intrus sera parti, anéanti. Et si, un jour, un de ces intrus rançonneur pénètre votre système et vous annonce ensuite que vos fichiers sont cryptés et que vous devez payer 5000€ pour les décrypter, vous éclaterez de rire et éteindrez votre ordinateur.

Pour obtenir cette protection vous devez fonctionner totalement en RAM et désactiver totalement les disques de l'ordinateur ...

Démarrer totalement en RAM (MEV ou mémoire vive)

EasyOS possède cet élément du menu de démarrage
«Copy session to RAM & disable drives» ou en français ««Copier la session dans la RAM et désactiver les lecteurs»».
Voir sur cette capture d'écran au cours du démarrage :

Mise à jour du 21-12-2020 :
Tous les choix du menu de démarrage sont désormais proposés dans le menu de Fermeture. En d'autres termes, à partir du bureau, dans la catégorie «Fermeture» du menu, vous pouvez choisir de redémarrer avec l'un des choix proposés par le gestionnaire de démarrage.

L'image suivante montre que «Redémarrer, verrouillage dans la RAM» (Reboot, lockdown in RAM) est choisi :

Notez que "Changer" (Rectify) fait apparaître un sous-menu, avec plus de choix, comme «Redémarrer, avec vérification du système de fichiers» (Reboot, with filesystem check). Pour plus d'informations sur le choix de menu «Redémarrer, verrouillage dans la RAM» (Reboot, lockdown in RAM), cliquez ici :

https://bkhome.org/news/202008/save-session-while-running-totally-in-ram.html 

Pouvoir choisir toutes les options de redémarrage dans le menu Fermeture est génial. Ça signifie que quel que soit le gestionnaire de démarrage que vous utiliserez, GRUB2, ReFind, Syslinux ou autre, vous n'aurez pas à fournir ces options dans le menu de démarrage.

Vous ne choisirez pas ça la toute première fois que vous lancerez EasyOS, vous démarrerez normalement, vous connecterez à Internet, à votre courriel, ou peu importe. Tout sera pré-configuré comme souhaité.

La prochaine fois que vous démarrerez, choisissez alors «Copier la session sur la RAM & désactiver les disques» ou «Redémarrer, verrouillage dans la RAM» (Reboot, lockdown in RAM) du menu de Fermeture, et la session précédente sera copiée dans la RAM et vous aurez un bureau, avec une différence majeure : aucun disque.

On doit mentionner ici un détail important : EasyOS utilise le gestionnaire de démarrage ReFind, qui se souvient de votre dernier choix de menu. Cela signifie que lors des futurs démarrages, vous n'aurez pas à déplacer la sélection du menu vers le bas «Copier la session sur la RAM & désactiver les disques» ce sera déjà fait. Il y a un délai d'attente, vous n'avez donc rien à faire, allumez simplement l'ordinateur et il démarrera sur la dernière sélection du menu. C'est très pratique.

Voici le bureau : Apparence normale, mais les icônes des partitions des disques habituelles sont absentes :

... notez aussi, aucune icône de conteneur non plus. Vous êtes déjà totalement isolé, pas besoin de conteneurs.

Vous êtes toujours en utilisateur «root» (ou «administrateur»), avec les droits d'administrateur, un peu réduits puisque vous ne pouvez accéder à aucun disque. Et si vous ne pouvez accéder à aucun disque, aucun intrus ne le pourra non plus.

Mise à jour du 21-12-2020 :
Les droits d'administrateur ont encore été restreints. Pensez-y comme d'une  «racine paralysée» (crippled root). La capacité Linux CAP_SYS_ADMIN a été abandonnée dans certaines versions d'EasyOS et le sf de sécurité LSM «lockdown» réglé sur «confidentialité». En outre, le disque dur interne est mis en mode de veille prolongée. Quelques articles de blog pertinents (malheureusement en anglais) :  1  2  3  4  

Comment partager des fichiers, alors?

Vous êtes en cours d’exécution en RAM, aucun accès aux disques de l'ordinateur, mais c'est ici que se trouve l'astuce : si vous branchez maintenant une clé USB, elle sera utilisable. Tout lecteur que vous brancherez (ou rebrancherez) physiquement sera utilisable.

Disons que vous ayez téléchargé un fichier sur le Ouèb et que vous souhaitiez l'enregistrer. Branchez simplement une clé USB et enregistrez-le. Ou si vous avez démarré à partir d'une clé USB, rebranchez-la tout simplement - notez que vous ne pouvez pas le faire  de manière logicielle, il doit s'agir d'un branchement (ou rebranchement) physique réel.

Sur la photo suivante, quelques captures d'écran, une clé USB a été branchée et les fichiers peuvent y être copiés :

...sdb1 et sdb2 sont des partitions de la clé USB et sdb2 a été monté simplement en cliquant sur l'icône.

Et si vous voulez effectuer des modifications, éventuellement dans les préférences du navigateur Ouèb? Pas de problème, démarrez normalement et faites les changements.

Cette particularité dans le fonctionnement d'EasyOS est de plus en plus reconnue comme très spéciale. Mais comment fait-on cela?

Comment c'est fait.

En un mot, «initramfs» ou «initrd», supprime certaines capacités Linux en exécutant un «switch_root» (basculement de racine) sur le bureau principal en RAM, ce qui supprime toutes les capacités d'accès aux disques.

Pour EasyOS versions 2.2 ou suivantes de la série Buster, ou 1.3 et suivantes de la série Pyro, le noyau Linux 5.4.x possède la fonctionnalité  «lockdown» («verrouillage»). C'est un niveau de sécurité supplémentaire, pour empêcher toute méthode super performante de s'introduire furtivement dans le noyau pour accéder aux disques. 

Le basculement de la racine est activé sur un système de fichiers en couches (utilisant aufs), avec  «easy.sfs» comme couche inférieure en lecture seule et la RAM (en fait un périphérique zram) comme couche supérieure en lecture-écriture.

Ces détails techniques ne concernent pas nécessairement l'utilisateur normal. 

Détail technique très utile c'est l'utilisation de la «zram», qui signifie RAM compressée. Ça veut dire aussi que même si votre PC a peu de RAM, disons seulement 4 Go, tous les fichiers étant stockés compressés, vous aurez donc à votre disposition presque le double de cet espace mémoire, peut-être 6 ou 7 Go libres.

Important : il est recommandé d'utiliser un ordinateur avec au moins 4 Go de RAM. Pas moins, comme 2 Go, vous pourriez avoir des problèmes de manque d'espace en RAM. Cependant, 2 Go pourrait aller en étant très prudent - vous avez une icône «storage» (ou «stockage») dans la barre système, vous saurez à tout instant combien il vous reste d'espace en RAM.

Comment lancer des applications supplémentaires

Comme mentionné ci-dessus, «easy.sfs» représente la couche inférieure. C'est un fichier qui contient tout EasyOS, vous y avez donc LibreOffice, SeaMonkey, Inkscape, etc., etc. Mais que faire si vous voulez une autre application comme Firefox?

C'est très simple, faites un démarrage normal et installez l'application. Dans un démarrage normal, le bureau affiche les icônes «petget» et «sfsget».

Le premier, «petget», est le gestionnaire des paquets traditionnel et il installe tout ce que vous voulez.

«sfsget» installe des fichiers SFS, comme Firefox. Il vous sera proposé d'installer le SFS en tant que conteneur ou sur le bureau principal - choisissez le bureau principal.

La prochaine fois que vous démarrerez avec «Copier la session dans la RAM & désactiver les disques», tout ce que vous aurez installé avec «petget» et «sfsget» sera disponible. 

Avertissements

Il ne peut y avoir de garantie de sécurité absolue, bien évidemment, mais tout ça me paraît excellent. Si vous êtes un expert Linux et capable d'identifier n'importe quel moyen d'accéder aux disques, veuillez communiquer avec Barry Kauler, via ce lien contact.

Voici les avertissements habituels et bien que Barry Kauler, le créateur et mainteneur d'EasyOS, ait agi en toute bonne foi, vous utilisez EasyOS entièrement à vos risques et périls. D'autres détails juridiques ici.

Tags: utilisateur