crussella0129/tricorne

# Tricorne **一款专为进攻性安全打造的 Fedora Remix** *状态：设计规范 v0.3 — 预实施阶段* *作者：Charles Russella (Thread & Signal LLC)* *目标：非官方 Fedora Remix → 官方 Fedora Spin（2-3 年路线图）* ## 1. 核心主旨 Kali 统治着 Debian。BlackArch 统治着 Arch。Parrot 占据了“专注安全的桌面”这一细分市场。**尽管 Fedora 可以说是防御性加固最强悍的主流发行版（SELinux、sVirt、OpenSCAP 和审计框架均源于 Red Hat/NSA 的合作），但在 RPM 生态的进攻性安全领域，却是一片空白。** Tricorne 填补了这一空白。它是一款 Fedora Remix，在 Fedora 的防御基础之上，提供了完整的进攻性安全工具链（网络侦察、Web 应用测试、无线攻击、漏洞利用框架、取证和逆向工程），并为目录中的每一个工具提供了一流的 SELinux 策略支持。 这个名字来源于大约 1690 年到 1800 年间非正规军、民兵和私掠者所戴的三角帽——不对称战争之帽。三角帽最初不是为了阅兵方阵而设计的；它是士兵自己动手的实用改良，他们把宽边帽的帽檐卷起来，这样就不会挂到 musket 悬挂带和肩部装备上。**一顶由操作员重新设计、为操作员量身定制的帽子。** 这正是 Linux 发行版起源故事在现实物理世界中的缩影。 这三个角正是设计的隐喻：**红队、蓝队、紫队——一名操作员在同一系统中的三项实践。** - **红角：** 进攻工具（旧 Bicorne 规范中的 Port Horn，现已扩展） - **蓝角：** SELinux、审计框架、加固默认设置 - **紫角：** 交战工作区、范围控制、日志记录、报告生成——使红队工作能被蓝队审查的统一层 Kali、BlackArch 和 Parrot 都只关注红角。Tricorne 是第一个将这三个方面都作为一流公民对待的主要进攻性发行版。 其差异化的赌注在于：**在 SELinux 强制模式下运行的红队人员（联邦、DoD、受监管行业）目前没有原生的发行版可用，而紫队纪律正在发展壮大，却缺乏一个专用平台。** Tricorne 同时满足了这两方面的需求。 ## 2. 非目标 明确 Tricorne *不是* 什么，可以防止范围蔓延。 - **不是 Kali 的克隆版。** 工具集相同，基础不同，理念不同。我们不会 1:1 照搬 Kali 的元软件包结构。 - **不是一款加固发行版。** Qubes、Tails 和 Whonix 已经占据了这一领域。Tricorne 是在 Fedora 默认设置之上运行的进攻工具集。 - **不是滚动更新。** 我们继承了 Fedora 约 6 个月的发布周期。需要前沿版本渗透测试工具将通过 Flatpak 或 toolbx 容器提供。 - **不面向初学者。** 我们假定用户熟悉 dnf、SELinux 基础知识和 Linux。新手入门体验请移步 Kali。 - **不是以取证优先的发行版。** CAINE 和 SIFT 占据了这一领域。我们包含取证工具，但不会围绕它们优化用户体验。 ## 3. 主要用户（同心圆） **核心圈 — 核心楔入区：** 政府承包商、联邦机构和受监管行业（医疗、金融、国防）的红队人员和渗透测试人员，这些行业的测试目标环境通常运行着开启 SELinux 强制模式的 RHEL/Rocky/Alma。目前这部分需求未被充分满足。 **第 1 圈：** 紫队实践者，致力于在进攻和防御行动之间建立反馈闭环。目前只能在多个发行版间拼凑工具链。 **第 2 圈：** 对 Debian 打包滞后于快速迭代工具（现代 C2 框架、后量子密码学工具、与 LLM 相关的漏洞利用）感到沮丧的渗透测试人员。 **第 3 圈：** 攻击性安全专业的学生，他们希望在经过加固的环境中而非刻意放宽权限的环境中学习。 **第 4 圈：** 希望在不频繁更换发行版的情况下获得渗透测试工具的现有 Fedora 用户。 该发行版服务于所有五个群体，但在设计权衡上会优先考虑核心圈和第 1 圈。 ## 4. 架构 ### 4.1 基础 - **Fedora Workstation**（当前稳定版，支持 N-1 版本）作为上游基础 - **GNOME** 作为参考桌面（Fedora 的默认选项；我们不与上游对抗） - **次要定制版：** KDE、Hyprland（面向在攻防安全文化中占主导地位的平铺式窗口管理器用户群） - **没有内核分叉。** 我们发布原生的 Fedora 内核。如果工具需要内核模块，会以 DKMS 或 kmod 包的形式提供。 ### 4.2 三个角 这一隐喻贯穿了整个技术架构。Tricorne 围绕着三个角进行组织： **红角 — 进攻：** 渗透测试工具链。侦察、漏洞利用、后渗透、C2。主要存在于 `tricorne-*` 元软件包中（web、wireless、ad 等）。这里的每个工具在蓝角中都有对应的策略。 **蓝角 — 防御：** SELinux 策略（`tricorne_t` 域及其相关域）、审计规则集、加固默认设置、威胁模型文档。不可选，不可禁用。每个红角工具在发布时都附带了其蓝角对应物：经过测试的 SELinux 策略模块、审计规则，以及用于在操作员工作站上运行该工具的已记录威胁模型。 **紫角 — 统一：** 交战工作区、范围控制、自动日志记录、证据捕获、报告生成。这是使进攻性工作对防御性审查变得清晰可见的一层——也是其他任何进攻性发行版都没有提供的一层。存在于 `tricorne-engage` 工具包中（见第 7.2 节）。 底层是三层打包模型： **第 1 层 — 原生 RPM 包**，位于 `tricorne` COPR/仓库中。受益于系统集成的核心工具：`nmap`、`wireshark`、`metasploit-framework`、`aircrack-ng`、`hashcat`、`john`、`hydra`、`sqlmap`、`burpsuite-community`、`zaproxy`、`radare2`、`ghidra`、`gdb-peda`、`volatility3`、`bettercap`、`responder`。打包时附带适当的 SELinux 策略（见第 5 节）。 **第 2 层 — Flatpak**，用于迭代频繁或具有复杂依赖树的 GUI 工具。使其保持隔离，并可独立于 Fedora 的发布周期进行更新。 **第 3 层 — Toolbx 容器**，用于那些确实与 SELinux 冲突或需要特定库版本的工具。`tricorne-toolbx-kali` 通过容器化的 Debian 提供了 Kali 环境，适用于我们无法或不愿原生打包的工具。 ### 4.3 元软件包 效仿 Kali 的元软件包结构进行建模，但是原生的 RPM 包，并按“角”进行组织： ``` # Red Corner (offensive toolchain) tricorne-everything # kitchen sink tricorne-default # reasonable daily-driver subset tricorne-web # web app testing tricorne-wireless # 802.11, Bluetooth, SDR tricorne-network # recon, MITM, pivoting tricorne-exploitation # frameworks, payload generation tricorne-forensics # memory, disk, network forensics tricorne-reversing # RE and malware analysis tricorne-crypto # hash cracking, crypto analysis tricorne-osint # passive recon tricorne-cloud # AWS/Azure/GCP red team tooling tricorne-ad # Active Directory / Kerberos tricorne-mobile # Android/iOS testing # Blue Corner (defensive / policy) tricorne-selinux-policy # all tricorne_* SELinux modules tricorne-audit-rules # auditd rules tuned for operator workstation tricorne-hardening # additional CIS-aligned defaults # Purple Corner (unifying) tricorne-engage # engagement workspace toolkit tricorne-report # evidence collection, report templates ``` ### 4.4 文件系统布局 严格遵循 Fedora 惯例。不设立 `/opt/tricorne` 垃圾场。工具安装到标准位置（`/usr/bin`、`/usr/share`、`/usr/lib`）。字典、payload 和共享资产存放在 `/usr/share/tricorne/` 下，并设有为兼容 Kali 而创建的符号链接（`/usr/share/wordlists`、`/usr/share/seclists`），以便将在 Kali 上培养的肌肉记忆直接平移过来。 ## 5. 蓝角：SELinux 本节正是 Tricorne 存在的理由。所有其他的进攻性发行版都将 SELinux 视为障碍。我们将其视为特性。 ### 5.1 默认姿态 - SELinux 默认以 **enforcing（强制）** 模式运行。不是 permissive（宽容）。不是 disabled（禁用）。 - 每一个第 1 层工具都附带经过测试并提交给上游的 SELinux 策略模块。 - 确实需要策略例外的工具（例如，`nmap` SYN 扫描所需的原始套接字访问，`wireshark` 所需的混杂模式）将获得 **范围狭窄且有文档记录的布尔值**，而不是一刀切的 `setenforce 0` 权宜之计。 ### 5.2 `tricorne_t` 域家族 专为进攻性安全工作流设计的一组新 SELinux 域： - `tricorne_t` — 通过 `tricorne-shell` 或图形会话入口点启动的工具会转换到此域。拥有用于数据包构造、原始套接字和进程内省的提升权限——但仍受限于无法读取 `/etc/shadow`、任意主目录或系统配置。 - `tricorne_target_t` — 用于漏洞利用开发的临时目录，与用户数据隔离。 - `tricorne_engagement_t` — 活跃的交战工作区（见第 7.2 节），带有额外的审计钩子。 - `tricorne_report_t` — 证据和报告工件，一旦封存，对操作员工具即为只读。 这正是政府/国防红队人员会关注的地方。当他们的客户 SOC 在网络上看到一台 Tricorne 工作站时，其审计轨迹会比 Kali 主机 *更好*，而不是更差。 ### 5.3 策略模块提交 每一个第 1 层工具的 SELinux 策略都会在适用时提交给上游的 `selinux-policy`。Tricorne 成为 Fedora 安全态势的 **净贡献者**，而不是索取者。这对于最终的 Fedora Spin 申请至关重要——Fedora Council 会非常看重我们对上游友好的态度。 ## 6. 红角：工具链目录（v0.1 草案） 部分列表。完整目录位于 `CATALOG.md` 中。每个条目包括：上游 URL、Fedora 打包状态、SELinux 策略状态、元软件包成员身份、所属层级。 ### 6.1 网络侦察与枚举 - `nmap`、`masscan`、`rustscan`、`naabu` (ProjectDiscovery 套件) - `amass`、`subfinder`、`assetfinder` - `dnsrecon`、`dnsenum`、`fierce` ### 6.2 Web 应用程序 - `burpsuite-community`、`zaproxy`、`caido` - `ffuf`、`gobuster`、`feroxbuster`、`dirsearch` - `sqlmap`、`nosqlmap`、`commix` - `nuclei`、`nikto`、`wapiti` ### 6.3 无线与 SDR - `aircrack-ng` 套件、`bettercap`、`kismet`、`wifite` - `hcxtools`、`hcxdumptool` - `gnuradio`、`gqrx`、`hackrf`、`rtl-sdr` 工具 - 蓝牙：`bluez` 工具、`btlejack` ### 6.4 漏洞利用框架 - `metasploit-framework`（原生 RPM，非捆绑的 Ruby 乱局） - `sliver`、`havoc`、`mythic`（现代 C2 — 通过 Flatpak 或 toolbx 提供） - `empire`、`covenant` - `exploitdb` / `searchsploit` ### 6.5 活动目录与 Windows - `impacket` 套件、`bloodhound`、`bloodhound-python` - `crackmapexec` / `netexec`、`kerbrute`、`rubeus` (通过 dotnet) - `responder`、`mitm6`、`ntlmrelayx` ### 6.6 密码与密码学 - `hashcat`（带有适当的 GPU 驱动处理）、`john` - `hydra`、`medusa`、`patator` - `cewl`、字典管理工具 - `seclists` 集成 ### 6.7 逆向工程 - `ghidra`、`radare2`、`rizin`、`cutter` - 搭配 `pwndbg`、`gef`、`peda` 的 `gdb`（用户可选） - `binwalk`、`firmware-mod-kit` - `frida`、`objection` ### 6.8 取证与 IR（防御交叉） - `volatility3`、`autopsy`、`sleuthkit` - `yara`、`loki` - `chainsaw`、`hayabusa` (Windows 事件日志分析) ### 6.9 OSINT- `spiderfoot`、`maltego-ce`、`recon-ng` - `theharvester`、`photon`、`sherlock` ### 6.10 云与容器 - `pacu`、`scout-suite`、`prowler` - `kube-hunter`、`kubeaudit`、`peirates` - `trufflehog`、`gitleaks` ## 7. 紫角：用户体验 ### 7.1 首次启动 - Live ISO 启动至一个最小化的 GNOME，并将“Tricorne Setup”作为特色应用 - 设置向导提供元软件包选择、VPN 预配置、交战工作区创建 - 关于合法使用的明确免责声明——不是 EULA 墙，而是有意识的同意选择 ### 7.2 交战工作区 这是紫角的重头戏。**交战工作区** 是位于 `~/engagements//` 下的 LUKS 加密目录，拥有自己的 SELinux 上下文（`tricorne_engagement_t`）、自动屏幕截图/日志捕获（可切换），以及范围文件解析功能，能在 `nmap` 即将扫描超出范围的 IP 时发出警告。 命令： - `tricorne-engage new ` — 创建加密工作区，并将你放入其中 - `tricorne-engage scope ` — 加载范围文件；后续的工具调用将遵循此范围 - `tricorne-engage log ` — 向交战日志追加一条带时间戳的备注 - `tricorne-engage capture` — 手动证据捕获（屏幕截图 + 活动终端输出） - `tricorne-engage seal` — 关闭工作区，卸载 LUKS 卷，生成交战日志 - `tricorne-engage report` — 将封存的工作区移交给 `tricorne-report` 以生成草稿报告 范围文件格式：简单的 YAML，包含范围内和范围外的 CIDR 块、URL 和时间窗口。支持范围控制的工具（`nmap`、`masscan`、`ffuf`、`nuclei`）将获得一层轻量级封装，在执行前检查活动的范围文件。对范围外的目标操作会产生响亮的拒绝提示，并附带一个会被记录的 `--force-out-of-scope` 覆盖选项。 这是 Kali 完全缺乏的功能，也是在职渗透测试人员——尤其是那些曾在范围界定错误中吃过亏的人——会立即使用的功能。 ### 7.3 品牌与主题 **紫色的三角帽就是将整个品牌主旨压缩进一个图像。** 所有其他进攻性安全发行版都使用 dark/red/"hacker"（黑暗/红色/“黑客”）的美学，这代表了纯粹的红队。一顶紫色的帽子在没有任何文案之前，就能直接传达出 Tricorne 融合了红、蓝、紫三种纪律的信息。颜色 *就是* 定位。 - **Logo：** 四分之三侧面的风格化三角帽剪影（不是纯侧面——四分之三角度能清晰展现三个角，且在小尺寸下也能明确无误地看出是三角帽）。帽身为深紫色。在翻起的帽檐上别着一个火砖红色的帽章（革命时代的玫瑰花结），保留了进攻性特征，并防止 logo 被误认为纯粹是防御性的。以 SVG 格式提供，可从 favicon 缩放至广告牌。 - **文字标志：** “Tricorne” 采用简洁的无衬线字体，字形微缩。传达出“战术”而非“前卫”的感觉。 - **从第一天起就提供两种官方组合：** - *图标标志* — 带有帽章的三角帽剪影，正方形构图，用于 favicon 和应用图标 - *水平文字标志* — 图标加上“Tricorne”文字标志，用于网站页眉、README 和演示文稿 - **调色板：** - 主色：深紫色 `#4B0082` (靛蓝) — 庄重、权威，历史上是墨水和策略的颜色 - 强调色：帽章红 `#B22222` (火砖红) — 进攻性传承，引人注目 - 亮色：奶油色 `#F5F1E8` — 羊皮纸/地图图表的呼应，柔化了数字感 - 细节色：哑光黑 `#0A0A0A` — 轮廓、文字标志、辅助 UI 边框 - 默认暗色主题。没有骷髅交叉骨。帽子就是全部的美学——战略家，而不是海盗。 - 图标集：自定义的 Tricorne 品牌，作为 `tricorne-artwork` 的一部分提供。 **与 Kali Purple 的区别：** Kali Purple 是 Kali 在 2023 年推出的 *防御性* 定制版。Tricorne 是涵盖完整红/蓝/紫纪律的整体发行版——Tricorne 品牌中的紫色意味着“统一的操作员”，而不是“仅限防御”。在文档和营销中：*"Kali Purple 是 Kali 的防御分支。Tricorne 是完整的纪律——红、蓝、紫作为一顶帽子的三个角。"* Kali Purple 的存在证明了市场对紫队框架的需求，而不是在与我们争夺这一主张。 ### 7.4 Shell - `zsh`，带有精心策划的 Tricorne 提示符（交战名称、设置时的目标 IP、SELinux 上下文） - 预装了 `tmux` 配置，并启用了面板日志记录（默认可审计） - 完全支持 `bash`；可选提供 `fish` - 默认提示符符号：可用时为小型 Unicode 三角帽字形，回退显示为 `⚔` 或 `>` ## 8. 基础设施 ### 8.1 仓库托管 - 最初使用 **COPR**（`@tricorne/default`、`@tricorne/web` 等）——免费的 Fedora 原生基础设施，无资本支出 - 一旦流量达到要求，即迁移至专用基础设施 - 从第一天起提供 GPG 签名的仓库，绝无例外 ### 8.2 构建系统 - 通过 COPR 进行兼容 Koji 的构建 - 使用 GitHub Actions 进行 ISO 构建（基于 `livemedia-creator` / `kickstart`） - 所有 kickstart 文件和美工素材均位于主仓库中 ### 8.3 事实来源 - 位于 `github.com/crussella0129/tricorne`（或组织账户 `github.com/tricorne-project`）的 Monorepo - Subtrees 包含：`packaging/` (RPM 规范文件)、`selinux/` (策略模块)、`kickstart/` (ISO 定义)、`artwork/`、`docs/`、`metapackages/`、`engage/` (紫角工具) ### 8.4 CI/CD - 每个 PR 都会触发：RPM 构建、SELinux 策略编译、rpmlint、在 QEMU 中进行 ISO 冒烟测试 - 每周自动构建 nightly/rawhide 轨道的 ISO - 发布版 ISO 每季度标记一次，与 Fedora 发布保持一致 ## 9. 路线图 ### v0.1 — 概念验证（第 0-3 个月） - COPR 仓库上线，打包了 20-30 个第 1 层工具 - `tricorne-default` 元软件包正常运行 - 一个 SELinux 策略模块提交至上游（目标：`nmap`） - 可生成可引导 ISO 的工作 kickstart - README、CONTRIBUTING、CODE_OF_CONDUCT、SECURITY.md 均已到位 - Logo 和文字标志定稿 ### v0.2 — 可用的 Remix（第 3-9 个月） - 三个层级中 80% 的目录已打包 - `tricorne_t` 域策略端到端正常工作 - 交战工作区功能发布（紫角 MVP） - 除你之外有 5 名以上的贡献者 - 首次公开发布公告（r/netsec、r/linux、r/fedora、Hacker News） ### v0.3 — Remix 成熟期（第 9-18 个月） - 完整目录，所有元软件包均可用 - Flatpak 运行时发布 - 兼容 Kali 的 toolbx 镜像发布 - 文档站点位于 `tricorne-linux.org`（或类似域名） - 紫角报告管道（从交战日志生成报告草稿） - 会议亮相：DEF CON 演示，BSides 演讲 - 首位企业用户（将其标准化的咨询公司） ### v1.0 — 官方 Fedora Spin 申请（第 18-36 个月） - 向 FESCo 提交 Fedora Spin 提案 - 成立由 3 名以上维护者组成的工作组 - 所有软件包均已审查并入驻 Fedora 正式仓库（不仅仅是 COPR） - 获得 Fedora Council 的官方品牌批准 - 首个作为 Fedora Tricorne Spin 发布的 ISO ## 10. 风险与待解决问题 **商标检索。** “Tricorne” 出现在时尚/零售（制帽商、服装供应商）、一家字体铸造厂和一些小型企业中。在软件或安全领域没有任何可能造成混淆的名称。在公开发布前，需要在美国专利商标局（USPTO）的第 9 类（软件）和第 42 类（软件服务）中进行检索，并检查域名可用性。 **Metasploit 打包。** Metasploit 的 Ruby 依赖图对 RPM 来说是一场噩梦。Kali 对其进行了特殊处理。我们需要对其进行特殊处理，将其作为 Flatpak 发布，或者推动上游清理他们的 gemspec。 **Ghidra 与 Java。** Fedora 的 Java 打包范围非常严格。Ghidra 可用但很挑剔。以 Flatpak 发布可能是正确的做法。 **内核模块冲突。** 一些无线工具需要特定的驱动程序补丁（例如，支持注入的 `rtl8812au` 驱动程序）。DKMS 可以处理这个问题，但在内核更新时会出错。需要一个经过测试的更新路径。 **范围控制绕过。** 紫角的范围封装器增加了阻力——操作员会希望有覆盖机制。覆盖操作必须被记录下来，但不能阻力过大以至于操作员直接完全禁用封装器。做好这个用户体验是一个真正的设计难题。 **社区重叠。** Parrot Security OS 已经存在，并且拥有一些对 Fedora 感兴趣的用户。尽早联系；如果可以合作，就不要重复造轮子。 **Fedora Council 的接受度。** 官方 spin 状态需要证明 Tricorne 不会损害 Fedora 的声誉。安全工具是一把双刃剑——需要主动做好道德/法律框架的铺垫。 ## 11. 治理 - 初期采用 **BDFL 模式**（Charles Russella / Thread & Signal LLC）。在 v0 阶段，清晰的专制胜过民主。 - 在 v0.3 出现 3 名以上的 committed 维护者后，过渡到工作组模式。 - 行为准则：照搬 Fedora 的。 - **许可（按工件类型的多重许可）：** - 打包文件（RPM 规范文件、kickstart、构建脚本）：**MIT** - 原创代码（紫角工具）：**Apache-2.0**（为了专利授权） - SELinux 策略模块：**GPL-2.0-or-later**（与上游 `selinux-policy` 匹配，这是提交给上游所必需的） - 美工素材、logo、图标：带有商标例外的 **CC BY-SA 4.0**（Tricorne 名称和标志仍为 Thread & Signal LLC 的商标——见 `TRADEMARK.md`） - 文档：**CC BY-SA 4.0** - 上游打包的工具保留其各自的上游许可证 - **所有源文件都带有 SPDX 标头**，用于机器可读的许可证识别。现代 Fedora 打包指南的要求。 - **贡献使用 DCO，而不是 CLA。** 贡献者使用 `git commit -s` 签核提交，证明其开发者原创证书。这与 Fedora 的模式相匹配；没有贡献阻力。 - **原创代码不使用 GPL-3.0 或 AGPL-3.0。** 这会与核心圈的政府/国防受众产生法律审查摩擦。Apache-2.0 是这一楔入市场的正确许可。 ## 12. 如何贡献（v0.1 摘要） 摘要部分。完整的 CONTRIBUTING.md 将随后提供。 当前请求： - RPM spec 审阅者（了解流程的 Fedora 打包者） - SELinux 策略审阅者（稀缺技能，高价值） - 愿意负责特定子目录的工具维护者 - 紫角贡献者 — 对交战工具感兴趣的 Python/Rust 开发者 - 拥有各种硬件的 ISO 测试人员 ## 附录 A — 比较矩阵 | 功能 | Kali | BlackArch | Parrot | Tricorne | |---------|------|-----------|--------|----------| | 基础 | Debian | Arch | Debian | Fedora | | 发布模式 | 类滚动 | 滚动 | 滚动 | 6个月 | | SELinux | 已禁用 | 已用 | AppArmor | **Enforcing（强制）** | | 工具数量 | ~600 | ~2800 | ~600 | 目标：400-600 精选 | | 容器方案 | 较弱 | 无 | 较弱 | **原生** | | 不可变变体 | 否 | 否 | 否 | **已计划（Silverblue 基础）** | | 交战工作区 | 否 | 否 | 否 | **是（紫角）** | | 范围控制 | 否 | 否 | 否 | **是** | | 证据/报告管道 | 否 | 否 | 否 | **是** | | 政府/国防就绪 | 否 | 否 | 否 | **主要楔入区** | ## 附录 B — 词源与品牌故事 三角帽（源于拉丁语 *tricornis*，意为“三只角的”）出现于 17 世纪末，作为士兵的实用改良，而非时尚宣言。欧洲步兵佩戴的宽边帽总是挂在 musket 悬挂带、弹药盒和肩射装备上。士兵们开始把帽檐的三个边卷起来以避免挂蹭——这种自下而上的巧妙改动到了 17 世纪 90 年代成为了大多数欧洲军队的标准配备，并一直沿用至美国独立战争时期。 这是大陆军、民兵、殖民地民兵，以及——并非巧合地——海盗和私掠者的帽子。不对称的武装力量，对抗着规模更大、装备更好、更传统的对手。这是那些必须靠智慧而非金钱战胜对手的人的帽子。 这种设计经验直接传承了下来：**赢得不对称交战的工具，是操作员为了适应工作而自己塑造的工具。** Tricorne 这个发行版继承了这一原则。它与 Fedora 的默认设置相集成，而不是取代它们；它在 SELinux 中运行，而不是禁用它；它适应操作员现有的环境，而不是要求一个专用的虚拟机。 这三个角就是操作员的三项纪律：攻击、防御、清算。红、蓝、紫。一顶帽子，一颗脑袋，一名操作员。 三个角。一名操作员。

标签：Beacon Object File, CIDR输入, CISA项目, Fedora, IP 地址批量处理, LIDS, Linux发行版定制, Offensive Security, RHEL系, SELinux, Web应用测试, 云资产清单, 安全工具集成, 安全防御策略, 实时处理, 插件系统, 数字取证, 无线网络安全, 混合加密, 漏洞利用框架, 白帽黑客, 私有定制系统, 系统安全加固, 紫队, 红蓝紫, 网络安全, 网络安全审计, 自动化脚本, 蓝队防御, 逆向工程, 隐私保护