Subgraph OS :: Découverte

Je suis entrain de découvrir un “nouvel” SE, basé sur Debian, dont le but est de se protéger, à plusieurs couches de niveaux logiciels, embarquant des technologies de cloisonnement logiciels, de chiffrements de données, et de surf anonyme.

Pour le découvrir : https://subgraph.com/index.fr.html

C’est encore assez confidentiel, en phase alpha.
Il y a un mode install, et un autre mode LiveCD. L’installation ne peut se faire à partir de ce dernier. Le noyau GNU/Linux est durci, avec deux patchs reconnus et éprouvés que sont GRSecurity et PaX.

Il semble nécessaire d’avoir un ordinateur assez récent, car demande de la puissance.
En effet, entre les cloisonnements, les divers chiffrements, cela nécessite de la puissance CPU/RAM assez conséquents.

Je m’y intéresse, à la fois, pour le but affiché, et parce que basé sur Debian.
Derrière, on retrouve bien, nos commandes d’administration console que nous aimons tant !

Côté logiciel :

• le bureau graphique est basé sur Gnome 3 - si je ne me trompe pas.
• la couche réseau est “géré” par t un proxy nommé “Subgraph Metaproxy” … on surf donc avec Tor Browser - Metaproxy s’occupe de faire la liaison logicielle entre le système, les logiciels web, et le réseau Internet, en configurant ce qui est de nécessaire.
• les mails sont gérés par un soft nommé “Courriel”, qui gére nativement GPG ; j’y ai vu Icedove.
• on retrouve Keepass, gestionnaire de données personnelles, dans sa version 2.
• le lecteur PDF est particulièrement cloisonné, lui aussi.

Un grand moment de solitude durant la phase de chiffrement de mon disque dur de 500 Go, près de 3 heures à le laisser faire complètement. Ne pas oublier la passphrase, sinon malheur, au redémarrage. Pour information, elle doit faire plus de 20 caractères mélangeant Majuscule, minuscule et chiffres ; éviter absolument les caractères accentués et non-alpha.

Allez zou … allons, un peu plus en profondeur

“Enjoy-ID!”
“Enjoy-IT!”

Ca m’a l’air fort intéressant dit donc, on sait déjà si c’est du full libre ou si il embarque de la mer… , hum … blop propriétaire (drivers etc…) ?

Alors de ce que je viens de lire, avant de te répondre, leur 3 produits :

• Subgraph OS est basé sur Debian. Et, utilise apparemment les dépôts, plus les leurs concernant leurs parties logicielles.
• Orchid, l’implémentation Java de Tor, est sous Licence BSD 3 clauses.
• Vega est décrit comme un pur produit OpenSource , sans afficher la licence.

Donc, on peut espérer, étant donné l’implication actuelle au sein de la communauté Open Source, et de leur discours affiché, qu’il n’y aurait rien de glauques derrière !
(cf : https://subgraph.com/about-us/index.en.html)

Après, Subgraph semble être une entreprise OpenSource dont le fond de commerce est la sécurité réseaux, et applications logicielles.

Bref, perso, en tant que “petit techos info”, je ne suis pas assez calé, pour me permettre de bousculer leur expertise, et autres connaissances ; quant à leur motivation, elles sont positivement affichées …

Bah quoi qu’il en soit, je vais attendre une version bêta puis je me déciderai (ou non) ^^

Edit : en tous cas belle découverte

Bon, alors la prise en main est légèrement différente.

Lors de l’installation, donc paramétrage du disque dur, de ses partitions en mode chiffré - bien veiller à laisser /boot hors de chiffrement, pour qu’il puisse installer grub !
L’installeur ne demande pas de nom utilisateur, mais bel et bien un mot de passe à configurer ; il se nomme, par défaut ‘user’

Premier usage :

Le SE - système d’exploitation n’accepte de se lancer que SI et seulement SI, vous tapez la passphrase relative aux chiffrements du disque dur.

Après un timing assez court, on arrive sur l’invite de connexion graphique, avec pour pré-paramètrage ‘user’ choisi comme utilisateur par défaut. Tapez le pass relatif, choisi lors de l’install. Le nom affiché peut être changé ; il faut aller dans le menu à droite, choisir le sous menu lié à l’utilisateur, puis “Paramètres utilisateur”.

C’est graphiquement très “léché”.

L’utilisateur est paramétré pour utiliser ‘sudo’ !

Pour avoir les menus “Applications”, “Emplacements”, en haut à G, + les icônes sur le bureau (Dossier “Home”, “Trash”, et “usb”, …), ainsi qu’à D, certaines autres informations, il faut ouvrir “l’Outil de personnalisation” ! Je vous invite à vous y diriger très vite, vers cet outil ; faut avouer qu’avoir un menu “Applications” est quand même bien utile - même si cela n’enlève pas le panel natif …

Côté USB : justement j’ai un disque dur partitionné Ext4, aucun soucis !

Côté Communication web, il y a Icedove - (cp de mon profil Mint ; quelques secondes après, réception de mes mails, sans soucis.), Hexchat (IRC).

Côté Multimédia, c’est VLC qui s’en occupe.

Côté PIM : on retrouve KeePassX, dans sa version 2.0.2
Il y a un autre outil, nommé YubiKey - va falloir que je me renseigne plus en avant sur ce propos.

Le système me semble très réactif - mais cela, je suppose le doit à la puissance de ma machine informatique. Un Dell Alienware 13.

Ahhh, si bon point, très bon point, il m’a reconnu nativement la puce Wifi !
Test concluant de connexion à mon réseau wifi, même si je préfère utiliser le filaire - ce qui est le cas.

Ensuite, il semble que ce soit une base “Testing” !

Problèmes :

=> Pour surfer sur le web, il n’y a que TorBrowser … et, malheureusement, ça ne marche pas !
Comme on le voit sur la capture écran, ci-dessous, il apparaît être installé ; mais, quand je le “lance” en mode graphique, rien ne se passe ; j’ai donc eu l’idée de le lancer en mode console.
ON voit les messages d’erreurs et les raisons pour lesquelles il semble refuser à se lancer !
ou alors, je n’ai pas compris comment ça fonctionne ; et, je penche fortement pour cela

Je vais devoir investiguer dans ce sens.

=> Ne fonctionne pas non plus, le terminal root … alors qu’en mode LiveCD oui !

=> Côté USB : j’ai une clé formatée Ntfs, il la monte, la lit … mais n’autorise pas l’écriture !

=> Màj Système : apt update fonctionne … mais comme, on le voit/lit sous la capture écran, ci-dessous, je fais face à ce problème :

On voit bien le paramétrage sources.list - en passant, je ne savais pas non plus que cela pouvait fonctionner en sous-couche avec tor - cela me semble une bonne chose.

‘apt upgrade’ fonctionne quand même, mais le débit - du fait de passer par tor ? - chute drastiquement. (entre 40 et 80 kb/s - alors que j’ai une BP normale entre 10 et 20 Mbps/s) donc, j’en ai pour 2 à 3 heures de DL+màj SE !

Bon, voili, voilou … pour un premier jet.
Je vais m’atteler à chercher à comprendre pourquoi cette histoire de TorBrowser me pose soucis !

Ne pas hésiter à me diriger vers de possibles solutions aux quelques problèmes rencontrés, voire à m’aider !

c’est étrange que tor baisse ta vitesse autant sur un apt update quand je fait chez moi “torify apt update” il ne dessend jamais en dessous de 300kb/s (bon c pas rapide mais sa fait son taffe, j’ai l’impression que leur programme tor maison doit être mal configurer

En fait, c’est très fluctuant, ça a commencé comme ça pendant quelques minutes, puis c’est remonté !

il y a moyen d’utiliser un browser non tor ?,
certain site sous cloudflare étant particulièrement chiant a utiliser ^^

OUi !

apt install iceweasel icewease-l10n-fr firefox-esr firefox-esr-l10n-fr

Mais quant à les faire communiquer sur Internet, c’est une autre paire de manches !
J’ai beau eu modifier dans les paramètres d’utiliser le proxy socks v5 : 127.0.01:9050, d’autoriser le flux au-travers du parefeu … rien !

Autre-point, bizarre, je reçois les mails … mais je ne peux en envoyer car il ne trouve pas mes différents SMTP !

Bien, j’arrête pour aujourd’hui !
Basta … à moins, que je ne reçoive un soutien certain pour m’aider à appréhender le bouzin … je crois que je vais en rester là, dans l’immédiat.

Ce qui craint, c’est qu’ils n’ont pas créer de communauté autour du projet.
Ça sent le projet à destination de professionnels de l’IT très calé …

Amusant je suis le premier à en avoir parlé sur ce forum

Je pense que vous vous méprenez sur le but intrinsèque de cet OS: son but est d’être transparent et pour l’instant seul TOR bien configuré et avec un equivalent de privoxy peut remplir cette tache.

Restez sur vos OS.

Perso, non … j’ai très bien compris le but de ce GNU/Linux Debian Derivated. Le fait de sécuriser le système a plusieurs niveaux est une très bonne idée …

Mais, si c’est ne pas pouvoir sortir du tout sur Internet, avec un Tor Browser non fonctionnel.
Sans parler du soit-disant client mail - que je n’ai pas trouvé … c’est Icedove par défaut, mais impossible d’envoyer des mails.

Je doute de l’efficience.

C’est sûrement oublier Tails, non ?!
Bref, tu ne fais pas avancer le schmilblick

Tu veux dire, plutôt, une discrète allusion, n’est-ce pas ?!
Pourtant, j’ai fait une recherche … et rien n’était ressorti !

Bref, sincèrement, dire c’est moi le premier qui en est parlé, n’est pas intéressant du tout
Tu comprendras que j’aime les approches profondément constructives

Tu ne comprends pas que vu la manière dont est construit le bouzin tu ne peux pas réfléchir de façon classique et pas l’utiliser d’une façon qui invaliderait la logique même de la construction de cet os?

c’est comme l’utilisation de tor : 1% des gens savent bien s’en servir

Pour le fonctionnement de tor dans subgraph je t’invite à jeter un oeil sur le proxy…ah et le firewall

Known important issues

Tor bootstrap may be slow at first boot or in live mode.
Tor Browser Launcher writes Tor Browser into the user's home directory, and it is writeable inside the sandbox. We will replace Tor Browser Launcher with Tor Browser package. Issue here.
CoyIM is not yet stable, please report crashes or bugs to the development team here.
Tor will not be able to egress at boot due to firewall rules when running in live mode on VMWare Fusion. Issue here.
Seccomp whitelists are currently DISABLED for most Oz sandboxed apps (except Coy) because we haven't tested them in about a month and need to retrain them. Instead most applications are running with the generic seccomp blacklist in /etc/oz/blacklist-generic.seccomp.

Troubleshooting

If Tor Browser does not start, it may be because Pax flags were not set. Run the following command: sudo paxrat -c /etc/paxrat/paxrat_tbl.conf to set them manually for Tor Browser.
If Tor does not successfully bootstrap, it may be because the system time was not set to GMT. Please set it to the current time GMT to unblock Tor. You can do it by issuing this command (as root): date --set="X FEB 2016 XX:XX:XX"
To restart Oz daemon at any time (if apps won't start..) issue this command: sudo systemctl restart oz-daemon

@kitmale avant de nous dire de rester sur nos os essaye de comprendre le but de ma question …

Je demande si il est possible d’utiliser un autre navigateur ,c’est pour youtube et facebook, car utiliser facebook derrière tor est totalement débile (vu que tu lui dit hé tien aufait je suis caché mais je suis “Nom lié au compte”).

Et puis si on pose la question c’est pour avoir la réponse, même toi a tes début sur linux tu a galérer du coup pour tor c pareille tous le monde n’est pas expert en sécurité web !

Je te remercie …
Je dois avoir du caca dans les yeux, quand je m’y mets.
Pour ceux que ça intéresse, ces informations sont là :
https://subgraph.com/sgos/download/notes/index.en.html

Donc, je vais remettre mon HD en question, et zou …

Cet os n’est pas fait pour ca, reflechir comme tu le fais implique la meme logique que les gonzes qui vont sur leurs comptes en banques et leurs emails privés en utilisant TOR

Il faut regarder la structure de cet os et essayer de comprendre sa logique afin de pouvoir determiner son application optimale

https://subgraph.com/sgos/graph/index.en.html

ps: et accessoirement il y a deux browsers sur cet os

Et comment on fait pour comprendre l’os si on l’essaye pas en commetant des erreurs ?
honnetement ca m’intéresse de savoir

Je suis désolé de te contredire, mais mis-à-part TorBrowser, il n’y en a pas d’autres installés par défaut.

D’ailleur au passage, il n’y a rien d’interdit sur tor,
il n’y a rien qui dit "Oh pour des raisons de sécurité faut pas utilisé tor pour la banque etc"
la seul “faille” de tor c’est les site http (car tous en clair sur le noed de sortie, si le site est en https, il n’y a aucune problème

Faut pas non plus essayer de nous faire croire que tor ne peut servir que dans 2 ou 3 situation autrement Tails n’existerais pas

Réponse de Lapalissade : on se fait former … et on paye la formation
Bon, trêve de “gueguerre” intestine … parce que cela serait dommage de pourrir le post !

Dès que je me sens mieux, je m’y remets.