【51CTO.com快譯】從愛(ài)德華·斯諾登披露國(guó)家安全信息，到物聯(lián)網(wǎng)暴露出來(lái)的安全問(wèn)題和惡意軟件攻擊，安全和隱私成為持續(xù)發(fā)熱的新聞話題。問(wèn)題在于，雖然每個(gè)人都關(guān)注安全和隱私，可是很少有人知道對(duì)安全和隱私該怎么處理。幸好，Linux有無(wú)數(shù)的工具可以處理這些問(wèn)題，又不需要每個(gè)人都成為專家。

　　受Windows的影響，大多數(shù)Linux用戶在思考問(wèn)題時(shí)著眼于應(yīng)對(duì)措施，比如反病毒軟件和防火墻。然而，最有效的工具通常是架構(gòu)方面的，對(duì)操作系統(tǒng)進(jìn)行更改，從根本上預(yù)防或遏制入侵。比如說(shuō)，一款有效的工具是umask，它為創(chuàng)建新的文件和目錄設(shè)定了默認(rèn)的許可權(quán)限，只有所有者才能查看或編輯文件，可以大大提高系統(tǒng)的安全。

　　遺憾的是，這樣的工具太多，要想全部學(xué)習(xí)掌握是項(xiàng)艱巨的任務(wù)。即便使用SE Linux也不見(jiàn)得更好，因?yàn)樗ǔＰ枰欢握{(diào)整適應(yīng)期，用戶在安全和自己的便利之間找到合理的平衡。事實(shí)上不止一位用戶關(guān)閉了SE Linux，這從側(cè)面表明了它使用起來(lái)并不簡(jiǎn)單。

　　沒(méi)有經(jīng)驗(yàn)的用戶可能最好使用概覽或幫助用戶了解種種可能的向?qū)С绦?。不管怎樣，這個(gè)過(guò)程就叫加固(hardening)。

　　Linux加固的捷徑

　　十年前，最出色的通用加固工具無(wú)疑是Bastille Linux，尤其是在Debian和Linux上。遺憾的是，這個(gè)項(xiàng)目后來(lái)沒(méi)有得到持續(xù)開(kāi)發(fā)與維護(hù)。用這些過(guò)時(shí)的資源加固系統(tǒng)方面可能存在不足，但是并不復(fù)雜――自Bastille的上一次改動(dòng)以來(lái)，Linux操作系統(tǒng)并沒(méi)有發(fā)生太大的變化。

　　然而，我覺(jué)得大多數(shù)用戶更對(duì)結(jié)果有興趣。我建議他們使用CISOfy的Lynis，它公開(kāi)自稱是Bastille的更新版。實(shí)際上，Lynis的用途比Bastille更廣泛，不是針對(duì)特定的發(fā)行版。

　　Lynis提供了幾種安裝方式，包括直接從Github安裝，基本的命令是lynis install audit，它運(yùn)行數(shù)百項(xiàng)測(cè)試。結(jié)果輸出到日志文件，未滿足Lynis標(biāo)準(zhǔn)的每一項(xiàng)都附有建議采取的動(dòng)作。

　　此外，Lynis提供了安全漏洞滲透測(cè)試，運(yùn)行的選項(xiàng)通常是計(jì)劃任務(wù)(cronjob)。額外的測(cè)試也可以作為插件添加上去。

　　除了運(yùn)行Lynis外，你還應(yīng)該查看發(fā)行版的說(shuō)明文檔，以便防止忽視任何獨(dú)特的功能特性。尤其是Arch Linux和Debian都有詳細(xì)的加固參考資料，對(duì)其他發(fā)行版來(lái)說(shuō)可能也很有用――尤其是Debian，它是許多現(xiàn)代發(fā)行版的根源，包括Ubuntu和Linux Mint。要說(shuō)有什么區(qū)別的話，Debian的困難在于找到最密切相關(guān)的維基頁(yè)面，這要看你感興趣的是一般加固、內(nèi)核加固還是軟件包加固。

　　為了以防萬(wàn)一，在做出任何加固變更之前，請(qǐng)先對(duì)系統(tǒng)備份。由于沒(méi)有留意所做的變更，不止一個(gè)熱心過(guò)頭的新用戶結(jié)果無(wú)法使用自己的系統(tǒng)。

　　桌面工具和發(fā)行版

　　一旦你加固了系統(tǒng)，應(yīng)該想一想會(huì)使用到哪些工具，這包括使用Tor的匿名瀏覽、電子郵件加密(大多數(shù)郵件閱讀工具中的一個(gè)選項(xiàng))以及使用Cryptocat的安全聊天。你可能還應(yīng)該開(kāi)始制定一項(xiàng)政策：使用密碼保存你的所有個(gè)人辦公文檔。

　　當(dāng)然，如果你不想如此深入地探究安裝的Linux，可以改而選擇一種關(guān)注安全的發(fā)行版。

　　如果你的系統(tǒng)至少有8GB內(nèi)存，那么Qubes OS可能是合適的發(fā)行版。Qubes OS不僅讓你可以在擁有不同的色標(biāo)安全級(jí)別的情況下運(yùn)行，還可以將工具直接放入到桌面環(huán)境的菜單中。

　　不然，傾向于無(wú)政府語(yǔ)義的MOFO Linux更可能是你需要的，或者是仍在開(kāi)發(fā)之中的Subgraph OS。

　　如果你連發(fā)行版都不想選擇，那該怎么辦?那么至少應(yīng)該安裝Firejail。Firejail在沙盒里面運(yùn)行程序，將程序隔離開(kāi)來(lái)，盡量減少可能出現(xiàn)的危害。它安裝時(shí)隨帶針對(duì)常見(jiàn)桌面應(yīng)用程序的幾十種配置文件，還有面向其他一切的通用配置文件。你只要在命令前面加上firejail，調(diào)整菜單項(xiàng)和桌面啟動(dòng)器就行了。

　　安全和隱私是個(gè)沒(méi)完沒(méi)了的研究話題，也是許多用戶不想深入探究的。然而，本文給出的建議讓你只要花少量精力，就可以降低風(fēng)險(xiǎn)。

　　原文標(biāo)題：Linux Security Made Simple

　　作者：Bruce Byfield

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

　　【編輯推薦】

　　1. 2016年改變網(wǎng)絡(luò)行業(yè)規(guī)則的十大收購(gòu)

　　2. CA發(fā)布自動(dòng)化解決方案與Docker平臺(tái)集成 實(shí)現(xiàn)持續(xù)交付

　　3. AI如何幫助我們以實(shí)時(shí)方式抵御黑客活動(dòng)?