adamantix系统详细讲解
以下从系统层面全面介绍 Adamantix——一个面向安全的 Debian 衍生 Linux 发行版。
一、简介
Adamantix(又名 Trusted Debian)是一个基于 Debian 的安全强化发行版,旨在“难以攻破但易于使用”。它在 2006 年左右推出,是首个将多种内核级与编译器级缓冲区溢出保护集成到发行版中的系统 。
二、历史背景
起源:由荷兰团队开发,项目官网于 2007 年前后关闭,随后其核心技术被整合到 Debian Hardened 等后续项目中 。
开发目标:提供开箱即用的安全策略,而无需管理员手动逐一打补丁或安装插件。
三、系统架构与组件
3.1 内核补丁
Adamantix 在 Debian 稳定版内核基础上,集成了以下补丁:
PaX:提供地址空间布局随机化(ASLR)与非可执行内存页(NX)支持。
RSBAC(Rule Set Based Access Control):细粒度强制访问控制框架。
Loop-AES:透明加密回环设备。
XFS 文件系统支持。
启用 MPPE(Microsoft Point-to-Point Encryption)和 透明代理 模块。
三种内核配置可选:
base:仅启用 PaX,不强制 RSBAC;
-soft:启用 RSBAC,仅记录不强制;
-sec:启用并强制 RSBAC 策略 。
3.2 编译器增强
所有用户空间和内核二进制包皆使用打了 IBM SSP(Stack Smashing Protector)补丁的 GCC 编译,以捕获并阻止栈溢出攻击 。
四、安全机制详解
| 机制 | |
| 功能PaX | |
| ASLR、NX 标记;防止可执行区外写执行SSP (ProPolice) | |
| 在函数返回地址前插入“金丝雀”,检测栈溢出RSBAC | |
| 提供基于规则的多模式强制访问控制(如角色、时限)Loop-AES | |
| 将回环设备加密,保护敏感数据存储IPSec | |
| 内核级 IPSec 支持,简化 VPN 配置ClamAV MS 模块 |
内置恶意软件扫描接口,实现实时扫描以上机制协同工作,实现“深度防御”模型:若一层防护被绕过,下一层仍可拦截攻击 。
五、其他特色功能
Zorp 应用层代理防火墙:可细粒度控制 HTTP、FTP 等协议流量。
无线主机模式驱动:将 Linux 作为 WLAN 基站。
一键启用安全策略:管理员仅需一条命令加载并激活预定义策略,系统即可如常运行 。
六、安装与使用
下载安装:通过官方 ISO;若已安装 Debian,则可在安装末尾手动退出安装器,编辑 /etc/apt/sources.list 指向 Adamantix 仓库。
安装内核与工具:执行 apt-get update && apt-get install adamantix-sec-kernel chpax(示例包名)。
配置 PaX 标志:使用 chpax 工具调整单个二进制的 PaX 属性。
管理 RSBAC 策略:编辑策略文件,使用 rsbac-init 加载并生效。
七、项目现状与影响
项目终止:官方维护早已停止,但其设计理念与补丁被后续 Debian Hardened、Hardened Gentoo 等继承。
学术与实务影响:多篇安全硬化论文及 GIAC 认证案例将 Adamantix 作为典型示范 。
社区遗产:PaX、SSP 等技术现已被更广泛地纳入主流发行版的硬化流程。
参考文献
ArchiveOS: Adamantix 首个集成缓冲区溢出保护的发行版
GIAC 论文: Adamantix 内核补丁与编译器保护细节
Academic Kids: Adamantix 的安全架构概览
俄文维基:项目功能与现状总结
再详细一点越详细越好