andre28abr/VigiaOS

# VigiaOS — 安全、隐私与 LGPD 套件 (Fedora Workstation)         ## 👤 作者 **André Augusto Azarias De Souza** — DPO / 数据负责人 · Compliance & GRC · 隐私工程 拥有超过 18 年**行政管理、合规、信息治理和个人数据保护**经验的专业人士，拥有**法律 (Anhanguera)** 和**系统分析与开发 (Mackenzie)** 双学位。曾在辅助医疗行业机构担任**行政经理和数据负责人 (DPO)** 近二十年，专注于 LGPD 合规、文档治理以及与技术部门的对接。 目前正处于**职业转型期，可随时到岗**，他作为**技术产品负责人**主导了 VigiaHub 项目，并**在代码编写阶段借助了生成式 AI 助手**——将监管要求 (LGPD) 以及强化、审计和隐私概念转化为一个功能套件，展现出足以与工程、安全和运营团队进行对话的技术流利度。 → **[完整简介: AUTHOR.md](AUTHOR.md)** · [LinkedIn](https://linkedin.com/in/andreaugusto-azariasdesouza) · [GitHub 主页](https://github.com/andre28abr) ### 📂 作者的其他项目 **[SentinelBR](https://github.com/andre28abr/SentinelBR-platform)** — 面向巴西中小企业的**SIEM + LGPD**开源平台。VigiaHub 负责*工作站*，而 SentinelBR 负责基础设施：Go 代理 (gRPC mTLS)、实时检测 (Sigma 风格 + YARA + OSV.dev)、自动化响应 (SOAR-lite) 以及原生多租户的 LGPD 合规。技术栈：Python 3.12 / FastAPI / Go 1.25 / React 19 / PostgreSQL / Loki。 **SC Platform** *(私有，受 NDA 保护 — 面试时可根据要求演示)* — 用于公共招标管理的多租户 SaaS (PNCP，14.133 法案模拟器，竞价机器人，使用本地 AI 提取 PDF，CRM)。超过 75k 行代码，420 项测试。 ## 🛡️ 包含内容 **VigiaOS** 是一个单应用，具有一个**分区**导航栏 —— 而不是三个散落的窗口，提供统一的体验。所有组件共享 `vigia-common` 库、视觉标识 (zinc + emerald) 和 UI 规范 (GTK4 + libadwaita)。 | 分区 | 目标用户 | 范围 | 状态 | |---|---|---|---| | **开始 (Início)** | 所有人 | 实时系统监控 (CPU/RAM/磁盘/网络/进程) | 🟢 活跃 | | **Hub** | 律师、自由职业者、LGPD 事务所 | **单机**安全 + 隐私 + 强化 + 审计 (14 款工具) | 🟢 活跃 | | **Red** | Pentester, red team | 带 GUI 的**攻击性**工具 (OSINT, 网络扫描器, 漏洞, Web) + 使用条款 (12.737/12 法案) | 🟠 7 个模块中已完成 4 个 | | **Blue** | Blue team, SOC 分析师 | **检测与响应** (SIEM-lite, IDS, YARA hunting, 内存取证, 威胁情报) | 🟢 7 个模块已就绪 | ## 为什么不是发行版 (distro)？ 维护一个定制发行版成本很高（安全、更新、针对上游的测试）。 维护工具则很轻量。Red Hat 已经打造了一个出色的 OS —— 我们让他们 去做这件事，而我们在此基础上进行构建。 结果：这些工具运行在原生的 **Fedora Workstation** 上， 利用基础系统的更新，简单不折腾。 ## 🚀 VigiaOS 应用 **VigiaOS** 是一个采用 **master-detail-content** 布局的单窗口应用：左侧的细边栏用于切换**分区** (开始 / Hub / Red / Blue)，在每个分区内，工具/模块以按类别分组的列表显示，并**嵌入式**地在内容面板中打开 —— 没有散落的窗口。边栏底部是**设置**和**通知**铃铛。 应用级功能： - **一切正常？ (Tudo Certo?)** — 带有 🟢🟡🔴 信号灯的健康检查面板：检查更新、防火墙、防病毒软件和隐私；**解决**按钮直接跳转到修复各个问题的对应工具。每次显示该界面时都会重新检查。 - **快速搜索 (`Ctrl+K`)** — 输入名称即可打开任何工具。 - **终端主题**（可选）— 终端/黑客风格的暗色视觉，位于*设置 → 应用程序 → 外观*（默认遵循系统主题）。 - **安全通知** + **每周病毒扫描** — 当有事项需要注意时在桌面发出警报，以及预定的自动检查（通过 systemd 实现用户计时器，**无需 root**）。两者均在*设置 → 应用程序*中。 - **XDG 自启动** — 随系统一起启动 (`~/.config/autostart`)。 - **托盘图标** — 带有快捷操作的 GTK3 子进程；关闭窗口会将其隐藏而不是终止进程。 - **密码锁定 (Polkit)** — 需要身份验证才能打开，**不存储凭证** (符合 LGPD)，在最小化启动时采用*延迟认证 (lazy auth)*。 - 以 `.zip` 格式备份/恢复配置 (`0600`)。 - **设置** — 选项卡：**关于 · 更新 · 应用程序 · 安全 · 帮助**（帮助以 Markdown 格式在应用内提供外行和技术手册）。 技术栈：Python + GTK4 + libadwaita。在终端中：`vigia-os`（或 `vigia-blue` / `vigia-red`，它们会直接打开应用并进入相应分区）。Hub 中的每个工具也**可独立运行**，不依赖于该应用（参见*仅安装单个模块*）。 ## 包含内容（Hub 中 14 款专注于 LGPD/事务所的工具） | # | 组件 | 技术栈 | 状态 | |---|---|---|---| | 1 | `bootstrap.sh` | bash | 🟡 开发中 | | 2 | **[VigiaOS Shell](tools/vigia-hub/)** v0.11.1 | Python + GTK4 | 🟢 分区导航栏 (开始/Hub/Red/Blue) + **一切正常？面板** (检查 🟢🟡🔴) + **Ctrl+K 搜索** + **终端主题**（可选）+ **安全通知** + **每周病毒扫描** + XDG 自启动 + 托盘 + Polkit 锁定 + 备份/恢复 + 设置（关于 · 更新 · 应用程序 · 安全 · 帮助） | | 3 | **[Vigia 系统监控](tools/dashboard/)** v0.4.2 | Python + GTK4 + Cairo | 🟢 实时系统监控 + 每个进程的 I/O + 警报 + syscalls 检查器 + 每个进程的带宽 + 平台徽章 | | 4 | **[Vigia 活动日志](tools/activity-log/)** v0.7.1 (核心) + [GUI](tools/activity-log-gui/) v0.2.0 | Rust + Python | 🟢 audit + journald + fail2ban + 关联性 + **PT-BR 词汇表** (“这是什么？”) + **来源**选项卡 | | 5 | **[Vigia 隐私控制](tools/privacy-controls/)** v0.3.2 | Python + GTK4 | 🟢 12 个用户及系统范围的开关 | | 6 | **[Vigia SELinux GUI](tools/selinux-gui/)** v0.2.1 | Python + GTK4 | 🟢 6 个选项卡 + pt-BR + audit2allow | | 7 | **[Vigia 防火墙 GUI](tools/firewall-gui/)** v0.1 | Python + GTK4 | 🟡 状态 + zones CRUD | | 8 | **[Vigia 网络监控](tools/netmon-gui/)** v0.2.0 | Python + GTK4 | 🟢 **按应用分组**的连接 + IP→名称 (反向 DNS) + PT-BR 状态；**监听**选项卡附带端口词汇表 | | 9 | **[Vigia 强化检查](tools/hardening-checks/)** v0.1.5 | Python + GTK4 | 🟢 Lynis 包装器 (强化审计) | | 10 | **[Vigia 报告](tools/reports/)** v0.2.7 | Python + Jinja2 + SVG | 🟢 6 个模板 + SHA-256 徽章 + 事务所标识 + **每月计划** (无头模式) | | 11 | **[Vigia 文件完整性](tools/file-integrity/)** v0.2.6 | Python + GTK4 | 🟢 AIDE (系统) + 临时哈希 (用户) — 6 个选项卡 | | 12 | **[更新](tools/tool-installer/)** v0.4.2 | Python + GTK4 | 🟢 通过 `dnf` 检查/应用系统及套件更新（设置中的选项卡） | | 13 | **[Vigia DNS 管理器](tools/dns-manager/)** v0.4.3 | Python + GTK4 | 🟢 **dnscrypt-proxy** (DoH/DoT) 包含 11 个精选服务器 | | 14 | **[Vigia 权限检查器](tools/capabilities-inspector/)** v0.1.2 | Python + GTK4 | 🟢 getcap 审计 + 41 个权限的 pt-BR 说明 | | 15 | **[Vigia 防病毒](tools/antivirus/)** v0.1.4 | Python + GTK4 | 🟢 ClamAV 包装器（替代 clamtk） | | 16 | **[Vigia Rootkit 扫描器](tools/rootkit-scanner/)** v0.2.2 | Python + GTK4 | 🟢 统一的 **chkrootkit + rkhunter** | *(第 1–2 行是 VigiaOS 的安装程序和外壳；**Hub** 分区的 14 款工具是第 3–16 行。**更新** —— 原第 12 行的“工具安装程序” —— 现已成为设置中的一个选项卡。)* ### 在 2026-05-27 清理中移除的内容（专注于 LGPD） - ~~网络扫描器 (nmap)~~ — 超出范围 + 道德风险 (12.737/12 法案) → 将回归 **VigiaRed** - ~~固件分析器 (binwalk)~~ — 逆向工程/CTF 小众领域 - ~~VPN 管理器~~ — GNOME 原生的 NetworkManager 已管理 WireGuard - ~~哈希工具~~ — 已合并至 File Integrity v0.2.0（同一类别） ## 安装 ### 一次性安装（推荐） 只需一条命令，在 **Fedora Workstation** 上 — 通过 `dnf` 即时安装所有内容，无需重启： ``` curl -fsSL https://raw.githubusercontent.com/andre28abr/VigiaOS/main/install/bootstrap.sh | bash ``` 安装 14 款工具及其使用的后端（`lynis`、`aide`、`clamav` 等），在 GNOME 菜单中注册快捷方式，并安装隐私相关的 Flatpaks (KeePassXC、Signal、Tor Browser 等)。**不会启动任何服务** — `fail2ban`/`dnscrypt-proxy` 保持关闭状态；您需要在相应的工具中逐一激活（最小攻击面 / LGPD）。 ### 仅安装单个模块（独立） 不需要整个套件。要**仅使用一款工具**（例如：仅防病毒软件），请使用 helper — 它会将该工具安装到您的用户配置下（`pip --user`，**无需 root**），并在 GNOME 中注册快捷方式和图标： ``` git clone https://github.com/andre28abr/VigiaOS.git ~/dev/VigiaOS cd ~/dev/VigiaOS install/install-tool.sh --list # ver módulos disponíveis install/install-tool.sh antivirus # instala só o Antivírus ``` 每个模块均可独立运行，无需依赖 VigiaOS。当 COPR 激活后：`sudo dnf install vigiaantivirus`。 ### 平台 目标平台：**Fedora Workstation** (GNOME)。通过 `dnf` 安装包 — 即时应用，无需重启。（该项目最初基于 Silverblue/不可变系统启动；请参见*历史记录*。） ### 开发（可编辑模式） 要修改代码，请以可编辑模式安装（完整指南见 [DEVELOPMENT.md §8](DEVELOPMENT.md#8-setup-numa-máquina-nova)）： ``` git clone https://github.com/andre28abr/VigiaOS.git ~/dev/VigiaOS cd ~/dev/VigiaOS (cd tools/vigia-common && pip install --user -e .) # dep das outras, primeiro for d in vigia-hub privacy-controls selinux-gui firewall-gui netmon-gui \ hardening-checks reports file-integrity tool-installer \ dns-manager capabilities-inspector activity-log-gui \ antivirus dashboard rootkit-scanner; do (cd tools/$d && pip install --user -e .) done vigia-os # abre o app (aliases: vigia-hub / vigia-blue / vigia-red) ``` ### 未来：通过 COPR（准备中） RPM specs 文件已在 [`packaging/`](packaging/) 中准备就绪，但 **COPR repo 尚未激活**（步骤见 [`packaging/README.md`](packaging/README.md)）。激活后： ``` sudo dnf copr enable andre28abr/vigia sudo dnf install vigia-suite ``` ## 历史记录 VigiaOS 最初旨在面向 **Fedora Silverblue**（不可变/原子化系统），但在 2026-06 **彻底迁移到了 Fedora Workstation**。技术原因：**取证**工具（Volatility、plaso、内核符号）和**迭代速度**在不可变模型中受到了影响——安装一个库需要 toolbox/container 并重启。在 Workstation 中，一切都可以直接通过 `dnf` 即时安装；该套件变得更加简洁且完善。 ## 文档 - [DEVELOPMENT.md](DEVELOPMENT.md) — 架构、决策、生态系统路线图 - [AUTHOR.md](AUTHOR.md) — 关于作者（微型简历） ## 许可证 Apache 2.0 — 见 [LICENSE](LICENSE)。

标签：GTK4, Python, Rust, 可视化界面, 安全合规, 应用安全, 无后门, 桌面应用, 网络代理, 网络安全, 网络流量审计, 逆向工具, 隐私保护