Subgraph OS 是 Linux 发行版，旨在抵抗 Internet 上复杂的对手的监视和干扰。它基于 Debian Linux。其功能旨在减少操作系统的攻击面，并增加执行某些类型的攻击所需的难度。

Subgraph OS 是 Linux 发行版，旨在抵抗 Internet 上复杂的对手的监视和干扰。它基于 Debian Linux。爱德华·斯诺登（Edward Snowden）提到该操作系统具有未来潜力。

Subgraph OS 被设计为锁定的，其功能旨在减少操作系统的攻击面，并增加执行某些类型的攻击所需的难度。这可以通过系统强化以及对安全性和抗攻击性的持续关注来实现。Subgraph OS 还强调通过确定性编译来确保已安装软件包的完整性。

功能

Subgraph OS 的一些显着功能包括：

• Linux 内核通过 grsecurity 和 PaX 补丁集进行了加固。
• Linux 名称空间和 xpra 用于应用程序包含。
• 使用 LUKS 在安装过程中强制进行文件系统加密。
• 抵抗冷启动攻击。
• 可配置的防火墙规则可自动确保使用 Tor 匿名网络建立已安装应用程序的网络连接。默认设置可确保通过网络上的独立电路传输每个应用程序的通信。
• 用于 OZ 虚拟化客户端的 GNOME Shell 集成，该应用程序在安全的 Linux 容器内运行应用程序，目标是使日常用户易于使用。

安全性

与另一个专注于安全性的操作系统 Qubes（使用虚拟化）相比，Subgraph OS（使用沙箱容器）的安全性受到了质疑。攻击者可以通过操作系统的默认 Nautilus 文件管理器或在终端中诱使 Subgraph 用户运行恶意的未装箱脚本。也可能运行包含.desktop 文件（用于启动应用程序）的恶意代码。恶意软件还可以绕过 Subgraph OS 的应用程序防火墙。同样，通过设计，Subgraph 无法像 Qubes OS 一样隔离网络堆栈，也不能防止不良的 USB 攻击。