Desktop/PC
Linux-distributies worden algemeen aanbevolen voor privacybescherming en softwarevrijheid. Als je nog geen Linux gebruikt, zijn hieronder enkele distributies die we aanraden om uit te proberen, evenals enkele algemene tips om je privacy en veiligheid te verbeteren die op veel Linux-distributies van toepassing zijn.
Traditionele verdelingen¶
Fedora Werkstation¶
Recommendation
Fedora Workstation is onze aanbevolen distributie voor mensen die nieuw zijn met Linux. Fedora adopteert over het algemeen nieuwere technologieën dan andere distributies, b.v. Wayland, PipeWire, en binnenkort. Deze nieuwe technologieën gaan vaak gepaard met verbeteringen op het gebied van veiligheid, privacy en bruikbaarheid in het algemeen.
Fedora heeft een semi-rollende release cyclus. Terwijl sommige pakketten zoals GNOME bevroren worden tot de volgende Fedora uitgave, worden de meeste pakketten (inclusief de kernel) regelmatig bijgewerkt gedurende de levensduur van de uitgave. Elke Fedora release wordt een jaar lang ondersteund, met elke 6 maanden een nieuwe versie.
openSUSE Tumbleweed¶
Recommendation
openSUSE Tumbleweed is een stabiele distributie met rollende release.
openSUSE Tumbleweed heeft een transactionele update systeem dat gebruik maakt van Btrfs en Snapper om ervoor te zorgen dat snapshots kunnen worden teruggerold mocht er een probleem zijn.
Tumbleweed volgt een rollend release-model waarbij elke update wordt vrijgegeven als een momentopname van de distributie. Wanneer je jouw systeem upgrade, wordt een nieuwe momentopname gedownload. Elke momentopname wordt door openQA aan een reeks geautomatiseerde tests onderworpen om de kwaliteit ervan te verzekeren.
Arch Linux¶
Recommendation
Arch Linux is een lichtgewicht, doe-het-zelf (DIY) distributie, wat betekent dat u alleen krijgt wat u installeert. Zie voor meer informatie hun FAQ.
Arch Linux heeft een doorlopende uitgavecyclus. Er is geen vast releaseschema en pakketten worden zeer frequent bijgewerkt.
Omdat het een doe-het-zelf distributie is, wordt van je verwacht dat je jouw systeem zelf opzet en onderhoudt. Arch heeft een officiële installer om het installatieproces wat gemakkelijker te maken.
Een groot deel van Arch Linux's pakketten zijn reproduceerbaar.
Immutable distributies¶
Fedora Silverblue¶
Recommendation
Fedora Silverblue en Fedora Kinoite zijn immutable varianten van Fedora met een sterke focus op container workflows. Silverblue wordt geleverd met de GNOME desktop omgeving terwijl Kinoite wordt geleverd met KDE. Silverblue en Kinoite volgen hetzelfde release schema als Fedora Workstation, profiteren van dezelfde snelle updates en blijven zeer dicht bij de upstream.
Silverblue (en Kinoite) verschillen van Fedora Workstation doordat ze de DNF pakketbeheerder vervangen door een veel geavanceerder alternatief genaamd rpm-ostree
. De rpm-ostree
pakketbeheerder werkt door een basis image voor het systeem te downloaden, en er dan pakketten overheen te leggen in een git-achtige commit tree. Wanneer het systeem wordt bijgewerkt, wordt een nieuw basisbeeld gedownload en worden de overlays op dat nieuwe beeld toegepast.
Nadat de update is voltooid, start je het systeem opnieuw op in de nieuwe versie. rpm-ostree
houdt twee versies van het systeem bij, zodat je gemakkelijk kunt terugdraaien als er iets kapot gaat in de nieuwe versie. Er is ook de mogelijkheid om meer versies vast te pinnen als dat nodig is.
Flatpak is de primaire pakketinstallatiemethode op deze distributies, aangezien rpm-ostree
alleen bedoeld is om pakketten die niet in een container kunnen blijven bovenop de basisafbeelding te plaatsen.
Als alternatief voor Flatpaks is er de optie Toolbox om Podman containers te maken met een gedeelde home directory met het gast-besturingssysteem en een traditionele Fedora omgeving na te bootsen, wat een nuttige eigenschap is voor de veeleisende ontwikkelaar.
NixOS¶
Recommendation
NixOS is een onafhankelijke distributie gebaseerd op de Nix pakketbeheerder met een focus op reproduceerbaarheid en betrouwbaarheid.
De pakketbeheerder van NixOS bewaart elke versie van elk pakket in een andere map in de Nix store. Hierdoor kun je verschillende versies van hetzelfde pakket op jouw systeem geïnstalleerd hebben. Nadat de inhoud van het pakket naar de map is geschreven, wordt de map alleen-lezen gemaakt.
NixOS biedt ook atomaire updates; het downloadt (of bouwt) eerst de pakketten en bestanden voor de nieuwe systeemgeneratie en schakelt daar dan naar over. Er zijn verschillende manieren om over te schakelen naar een nieuwe generatie; je kunt NixOS vertellen deze te activeren na reboot of je kunt er tijdens runtime naar overschakelen. Je kunt ook testen de nieuwe generatie door er tijdens runtime naar over te schakelen, maar het niet in te stellen als de huidige systeemgeneratie. Als iets in het updateproces stuk gaat, kunt je gewoon opnieuw opstarten en automatisch terugkeren naar een werkende versie van jouw systeem.
Nix de pakketbeheerder gebruikt een zuiver functionele taal - die ook Nix wordt genoemd - om pakketten te definiëren.
Nixpkgs (de belangrijkste bron van pakketten) zijn opgenomen in een enkele GitHub repository. Je kan ook je eigen packages definiëren in dezelfde taal en ze dan gemakkelijk opnemen in je config.
Nix is een source-based package manager; als er geen pre-built beschikbaar is in de binaire cache, zal Nix het pakket gewoon vanaf de broncode bouwen met behulp van zijn definitie. Het bouwt elk pakket in een sandboxed pure omgeving, die zo onafhankelijk mogelijk is van het hostsysteem, waardoor binaries reproduceerbaar zijn.
Op anonimiteit gerichte distributies¶
Whonix¶
Recommendation
Whonix is gebaseerd op Kicksecure, een op beveiliging gerichte vork van Debian. Het is gefocust op privacy, veiligheid en anonimiteit op het internet te bieden. Whonix wordt het best gebruikt in combinatie met Qubes OS.
Whonix is bedoeld om te draaien als twee virtuele machines: een "Workstation" en een Tor "Gateway" Alle communicatie van het werkstation moet via de Tor-gateway gaan. Dit betekent dat zelfs als het werkstation wordt gecompromitteerd door malware, het ware IP-adres verborgen blijft.
Enkele van de functies zijn Tor Stream Isolation, keystroke anonymization, encrypted swap, en een hardened memory allocator.
Toekomstige versies van Whonix zullen waarschijnlijk full system AppArmor policies en een sandbox app launcher bevatten om alle processen op het systeem volledig in te perken.
Whonix wordt het best gebruikt in combinatie met Qubes, Qubes-Whonix heeft diverse nadelen in vergelijking met andere hypervisors.
Tails¶
Recommendation
Tails is een live besturingssysteem gebaseerd op Debian dat alle communicatie via Tor laat lopen. Hij kan op bijna elke computer opstarten vanaf een DVD, USB-stick of SD-kaart.
Het is bedoeld om de privacy en anonimiteit te bewaren, censuur te omzeilen en geen sporen achter te laten op de computer waarop het wordt gebruikt.
Het is de bedoeling dat Tails zichzelf reset na elke reboot. Versleutelde persistente opslag kan worden geconfigureerd om bepaalde gegevens op te slaan. Een Tails-systeem dat door malware is aangetast, kan de transparante proxy omzeilen, waardoor de gebruiker kan worden gedeanonimiseerd.
Tails bevat standaard uBlock Origin in Tor Browser, wat het voor tegenstanders mogelijk gemakkelijker maakt om Tails-gebruikers te identificeren. Whonix virtuele machines zijn misschien lekbestendiger, maar ze zijn niet amnesisch, wat betekent dat gegevens kunnen worden teruggehaald van jouw opslagapparaat.
Het is de bedoeling dat Tails zichzelf volledig reset na elke herstart. Een versleutelde persistente opslag kan worden geconfigureerd om bepaalde gegevens tussen reboots op te slaan.
Op veiligheid gerichte distributies¶
Qubes OS¶
Recommendation
Qubes OS is een open-source besturingssysteem ontworpen om sterke beveiliging te bieden voor desktop computergebruik. Qubes is gebaseerd op Xen, het X Window System, en Linux, en kan de meeste Linux-toepassingen draaien en de meeste Linux-stuurprogramma's gebruiken.
Qubes OS is een op Xen gebaseerd besturingssysteem dat bedoeld is om sterke beveiliging te bieden voor desktopcomputers via beveiligde virtuele machines (VM's), ook bekend als Qubes.
Het besturingssysteem Qubes beveiligt de computer door subsystemen (bijv. netwerken, USB, enz.) en applicaties in afzonderlijke VM 's te isoleren. Als een deel van het systeem wordt gecompromitteerd, zal de extra isolatie waarschijnlijk de rest van het systeem beschermen. Zie voor meer details de Qubes FAQ.
Criteria¶
Wij zijn niet verbonden aan de projecten die wij aanbevelen. Naast onze standaardcriteriahebben wij een duidelijke reeks eisen ontwikkeld om objectieve aanbevelingen te kunnen doen. Wij stellen voor dat je zich vertrouwd maakt met deze lijst voordat je een project kiest, en jouw eigen onderzoek uitvoert om er zeker van te zijn dat het de juiste keuze voor je is.
Deze sectie is nieuw
We werken aan het vaststellen van gedefinieerde criteria voor elk deel van onze site, en dit kan onderhevig zijn aan verandering. Als u vragen hebt over onze criteria, stel ze dan op ons forum en neem niet aan dat we iets niet in overweging hebben genomen bij het opstellen van onze aanbevelingen als het hier niet vermeld staat. Er zijn veel factoren die worden overwogen en besproken wanneer wij een project aanbevelen, en het documenteren van elke factor is een werk in uitvoering.
Onze aanbevolen besturingssystemen:
- Moet open-source zijn.
- Moet regelmatig software en Linux kernel updates ontvangen.
- Linux-distributies moeten Wayland ondersteunen.
- Moet tijdens de installatie volledige schijfversleuteling ondersteunen.
- Mag regelmatige releases niet langer dan 1 jaar bevriezen. Wij raden "Long Term Support" of "stabiele" distro-uitgaven niet aan voor desktopgebruik.
- Moet een grote verscheidenheid aan hardware ondersteunen.