Персональный компьютер
Дистрибутивы Linux часто рекомендуются для защиты конфиденциальности и свободы пользователей. Если вы еще не используете Linux, ниже приведены некоторые дистрибутивы, которые мы рекомендуем попробовать, а также несколько общих советов по улучшению конфиденциальности и безопасности, которые применимы ко многим дистрибутивам Linux.
Традиционные дистрибутивы¶
Fedora Workstation¶
Recommendation
Fedora Workstation - наш рекомендуемый дистрибутив для начинающих пользователей Linux. Fedora обычно внедряет новые технологии раньше других дистрибутивов, например Wayland, PipeWire. Эти новые технологии часто улучшают безопасность, конфиденциальность и удобство использования в целом.
Fedora имеет [полу-плавающий](https://ru.wikipedia.org/wiki/Rolling_release) цикл релиза. В то время как некоторые пакеты, такие как GNOME, замораживаются до следующего выпуска Fedora, большинство пакетов (включая ядро) часто обновляются в течение всего срока жизни релиза. Каждый выпуск Fedora поддерживается в течение одного года, а новая версия выходит каждые 6 месяцев.
openSUSE Tumbleweed¶
Recommendation
openSUSE Tumbleweed - стабильный дистрибутив с плавающей системой релизов.
openSUSE Tumbleweed имеет систему транзакционного обновления, которая использует Btrfs и Snapper для обеспечения возможности отката моментальных снимков системы в случае возникновения проблем.
Tumbleweed следует модели плавающего релиза, когда каждое обновление выпускается как снимок дистрибутива. При обновлении системы скачивается новый снимок. Каждый снимок проходит через серию автоматизированных тестов openQA для обеспечения его качества.
Arch Linux¶
Recommendation
Arch Linux - это легкий, "сделай сам" (DIY) дистрибутив, означающий, что вы получаете только то, что устанавливаете. Более подробную информацию можно найти на их сайте FAQ.
Arch Linux имеет плавающий цикл релиза. Не существует фиксированного графика релиза, пакеты обновляются очень часто.
Будучи DIY дистрибутивом, вы должны самостоятельно установить и поддерживать свою систему. Arch имеет официальный установщик, чтобы немного облегчить процесс установки.
Большая часть пакетов Arch Linux является воспроизводимой.
Неизменяемые дистрибутивы¶
Fedora Silverblue¶
Recommendation
Fedora Silverblue и Fedora Kinoite - это неизменяемые варианты Fedora с сильным фокусом на контейнерные рабочие процессы. Silverblue поставляется с окружением рабочего стола GNOME, а Kinoite - с KDE. Silverblue и Kinoite следуют тому же графику релиза, что и Fedora Workstation, получая преимущества от таких же быстрых обновлений и оставаясь очень близкими к upstream.
Silverblue (и Kinoite) отличаются от Fedora Workstation тем, что заменяют пакетный менеджер DNF гораздо более продвинутой альтернативой под названием rpm-ostree. Менеджер пакетов rpm-ostree работает путем скачивания базового образа для системы, а затем наложения пакетов на него в git-подобном дереве коммитов. Когда система обновляется, загружается новое базовое изображение, и наложения будут применены к этому новому изображению.
После завершения обновления вы перезагрузите систему в новую установку. rpm-ostree сохраняет две версии системы, чтобы вы могли легко откатиться назад, если что-то сломается в новой версии. Также есть возможность подключить большее количество версий по мере необходимости.
Flatpak является основным методом установки пакетов в этих дистрибутивах, так как rpm-ostree предназначен только для наложения пакетов, которые не могут оставаться внутри контейнера, поверх базового образа.
В качестве альтернативы для Flatpak существует возможность Toolbox для создания Podman контейнеров с общим домашним каталогом с операционной системой хоста и имитации традиционного окружения Fedora, что является полезной функцией для взыскательных разработчиков.
NixOS¶
Recommendation
NixOS - это независимый дистрибутив, основанный на пакетном менеджере Nix с акцентом на воспроизводимость и надежность.
Менеджер пакетов NixOS хранит каждую версию каждого пакета в отдельной папке в хранилище Nix. Из-за этого в вашей системе могут быть установлены разные версии одного и того же пакета. После записи содержимого пакета в папку, папка становится доступной только для чтения.
NixOS также предоставляет атомные обновления; сначала она загружает (или собирает) пакеты и файлы для нового поколения системы, а затем переходит на него. Есть разные способы переключения на новое поколение; вы можете указать NixOS активировать его после перезагрузки или переключиться на него во время выполнения. Вы также можете протестировать новое поколение, переключившись на него во время выполнения, но не устанавливая его в качестве текущего поколения системы. Если что-то в процессе обновления сломается, вы можете просто перезагрузиться и автоматически вернуться к рабочей версии системы.
Менеджер пакетов Nix использует чистый функциональный язык - который также называется Nix - для определения пакетов.
Nixpkgs (основной источник пакетов) содержится в едином репозитории GitHub. Вы также можете определить свои собственные пакеты на том же языке и затем легко включить их в свою конфигурацию.
Nix - это менеджер пакетов на основе исходных файлов; если в кэше бинарных файлов нет готовой сборки, Nix просто соберет пакет из исходных файлов, используя его определение. Он собирает каждый пакет в изолированной чистой среде, которая максимально независима от хост-системы, что делает двоичные файлы воспроизводимыми.
Дистрибутивы для анонимности¶
Whonix¶
Recommendation
Whonix is based on Kicksecure, a security-focused fork of Debian. Его цель - обеспечить конфиденциальность, безопасность и анонимность в интернете. Whonix лучше всего использовать в сочетании с Qubes OS.
Whonix предназначен для запуска в виде двух виртуальных машин: "Рабочая" и "Шлюз Tor." Все соединения рабочей станции должны проходить через шлюз Tor. Это означает, даже если рабочая станция будет скомпрометирована каким-либо вредоносным ПО, настоящий IP-адрес останется скрытым.
Некоторые из его возможностей включают изоляцию потока Tor, анонимизацию нажатия клавиш, зашифрованный swap, а также усиленный распределитель памяти.
Будущие версии Whonix, вероятно, будут включать полные системные политики AppArmor и программу запуска приложений в песочнице для полного ограничения всех процессов в системе.
Whonix лучше всего использовать в сочетании с Qubes, Qubes-Whonix имеет различные недостатки по сравнению с другими гипервизорами.
Tails¶
Recommendation
Tails - это операционная система, основанная на Debian и направляющая все коммуникации через Tor, которая может загружаться практически на любом компьютере с DVD или USB-накопителя или SD-карты. Она использует Tor для сохранения конфиденциальности и анонимности, обходя цензуру и не оставляет следов на используемом компьютере после выключения.
Tails отлично подходит для криминалистической экспертизы благодаря амнезии (то есть ничего не записывается на диск); однако это не такой защищенный дистрибутив, как Whonix. В нем нет многих функций анонимности и безопасности, которые есть в Whonix, и он обновляется гораздо реже (только раз в шесть недель). Система Tails, взломанная вредоносным ПО, может потенциально обойти прозрачный прокси-сервер, что позволит деанонимизировать пользователя.
Tails содержит uBlock Origin в Tor Browser по умолчанию, что потенциально может облегчить злоумышленникам составить цифровые отпечатки пользователей Tails. Виртуальные машины Whonix могут быть более защищены от утечек, однако они не поддерживают амнезию, то есть данные могут быть восстановлены с вашего устройства хранения.
По замыслу разработчиков, Tails должна сама полностью сбрасываться после каждой перезагрузки. Зашифрованное постоянное хранилище может быть настроено для хранения некоторых данных между перезагрузками.
Дистрибутивы для безопасности¶
Qubes OS¶
Recommendation
Qubes OS is an open-source operating system designed to provide strong security for desktop computing through secure virtual machines (or "qubes"). Qubes is based on Xen, the X Window System, and Linux. It can run most Linux applications and use most of the Linux drivers.
Qubes OS secures the computer by isolating subsystems (e.g., networking, USB, etc.) and applications in separate qubes. Should one part of the system be compromised, the extra isolation is likely to protect the rest of the qubes and the core system.
For further information about how Qubes works, read our full Qubes OS overview page.
Kicksecure¶
While we recommend against "perpetually outdated" distributions like Debian for Desktop use in most cases, Kicksecure is a Debian-based operating system which has been hardened to be much more than a typical Linux install.
Recommendation
Kicksecure—in oversimplified terms—is a set of scripts, configurations, and packages that substantially reduce the attack surface of Debian. Он охватывает множество рекомендаций по обеспечению конфиденциальности и усилению защиты, без необходимости дополнительной настройки. It also serves as the base OS for Whonix.
Критерии¶
Choosing a Linux distro that is right for you will come down to a huge variety of personal preferences, and this page is not meant to be an exhaustive list of every viable distribution. Our Linux overview page has some advice on choosing a distro in more detail. The distros on this page do all generally follow the guidelines we covered there, and all meet these standards:
- Free and open-source.
- Receives regular software and kernel updates.
- Avoids X11.
- The notable exception here is Qubes, but the isolation issues which X11 typically has are avoided by virtualization. This isolation only applies to apps running in different qubes (virtual machines), apps running in the same qube are not protected from each other.
- Supports full-disk encryption during installation.
- Doesn't freeze regular releases for more than 1 year.
- We recommend against "Long Term Support" or "stable" distro releases for desktop usage.
- Supports a wide variety of hardware.
- Preference towards larger projects.
- Maintaining an operating system is a major challenge, and smaller projects have a tendency to make more avoidable mistakes, or delay critical updates (or worse, disappear entirely). We lean towards projects which will likely be around 10 years from now (whether that's due to corporate backing or very significant community support), and away from projects which are hand-built or have a small number of maintainers.
In addition, our standard criteria for recommended projects still applies. Please note we are not affiliated with any of the projects we recommend.
Вы просматриваете русскую копию Privacy Guides, переведённую нашей невероятной командой переводчиков на Crowdin. Если вы нашли ошибку или непереведённые разделы на этой странице, пожалуйста, помогите нам! Для получения дополнительной информации и советов см. наше руководство по переводу.
You're viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! For more information and tips see our translation guide.