受Windows的影响,大多数Linux用户在思考问题时着眼于应对措施,比如反病毒软件和防火墙。然而,最有效的工具通常是架构方面的,对操作系统进行更改,从根本上预防或遏制入侵。比如说,一款有效的工具是umask,它为创建新的文件和目录设定了默认的许可权限,只有所有者才能查看或编辑文件,可以大大提高系统的安全。 遗憾的是,这样的工具太多,要想全部学习掌握是项艰巨的任务。即便使用SE Linux也不见得更好,因为它通常需要一段调整适应期,用户在安全和自己的便利之间找到合理的平衡。事实上不止一位用户关闭了SE Linux,这从侧面表明了它使用起来并不简单。 没有经验的用户可能最好使用概览或帮助用户了解种种可能的向导程序。不管怎样,这个过程就叫加固(hardening)。
Linux加固的捷径 十年前,最出色的通用加固工具无疑是Bastille Linux,尤其是在Debian和Linux上。遗憾的是,这个项目后来没有得到持续开发与维护。用这些过时的资源加固系统方面可能存在不足,但是并不复杂――自Bastille的上一次改动以来,Linux操作系统并没有发生太大的变化。 然而,我觉得大多数用户更对结果有兴趣。我建议他们使用CISOfy的Lynis,它公开自称是Bastille的更新版。实际上,Lynis的用途比Bastille更广泛,不是针对特定的发行版。 Lynis提供了几种安装方式,包括直接从Github安装,基本的命令是lynis install audit,它运行数百项测试。结果输出到日志文件,未满足Lynis标准的每一项都附有建议采取的动作。 此外,Lynis提供了安全漏洞渗透测试,运行的选项通常是计划任务(cronjob)。额外的测试也可以作为插件添加上去。 除了运行Lynis外,你还应该查看发行版的说明文档,以便防止忽视任何独特的功能特性。尤其是Arch Linux和Debian都有详细的加固参考资料,对其他发行版来说可能也很有用――尤其是Debian,它是许多现代发行版的根源,包括Ubuntu和Linux Mint。要说有什么区别的话,Debian的困难在于找到最密切相关的维基页面,这要看你感兴趣的是一般加固、内核加固还是软件包加固。 为了以防万一,在做出任何加固变更之前,请先对系统备份。由于没有留意所做的变更,不止一个热心过头的新用户结果无法使用自己的系统。 桌面工具和发行版 一旦你加固了系统,应该想一想会使用到哪些工具,这包括使用Tor的匿名浏览、电子邮件加密(大多数邮件阅读工具中的一个选项)以及使用Cryptocat的安全聊天。你可能还应该开始制定一项政策:使用密码保存你的所有个人办公文档。 当然,如果你不想如此深入地探究安装的Linux,可以改而选择一种关注安全的发行版。 如果你的系统至少有8GB内存,那么Qubes OS可能是合适的发行版。Qubes OS不仅让你可以在拥有不同的色标安全级别的情况下运行,还可以将工具直接放入到桌面环境的菜单中。 不然,倾向于无政府语义的MOFO Linux更可能是你需要的,或者是仍在开发之中的Subgraph OS。 如果你连发行版都不想选择,那该怎么办?那么至少应该安装Firejail。Firejail在沙盒里面运行程序,将程序隔离开来,尽量减少可能出现的危害。它安装时随带针对常见桌面应用程序的几十种配置文件,还有面向其他一切的通用配置文件。你只要在命令前面加上firejail,调整菜单项和桌面启动器就行了。 安全和隐私是个没完没了的研究话题,也是许多用户不想深入探究的。然而,本文给出的建议让你只要花少量精力,就可以降低风险。 |