■鄭恬

Linux公布工作站安全操作規(guī)范

■鄭恬

近日Linux基金會(huì)（Linux Foundation）通過(guò)GitHub發(fā)布了基金會(huì)內(nèi)所使用的Linux工作站安全操作規(guī)范供企業(yè)參考。該該規(guī)范包括列出硬件、開(kāi)機(jī)前執(zhí)行環(huán)境、Linux版本別、安裝規(guī)范、安裝后的安全強(qiáng)化、個(gè)人工作站備份、瀏覽器、密碼管理、安全密鑰、SELinux等類(lèi)別的安全核查清單，并說(shuō)明了相關(guān)的安全檢查。

各類(lèi)核查清單中的每個(gè)項(xiàng)目都有各自的重要等級(jí)，從重大（Critical）、一般（Moderate）、低（Low）到偏執(zhí)（Paranoid）不等?！爸卮蟆贝砣粑磳?shí)施可能會(huì)惹來(lái)高風(fēng)險(xiǎn)?！耙话恪币馕吨筛纳瓢踩?，但不那么重要。較低等級(jí)的項(xiàng)目雖然也能增進(jìn)安全，但也許不值得犧牲工作站的便利性?！捌珗?zhí)”則是最能保障安全的選項(xiàng)，只是可能得大幅犧牲與系統(tǒng)的互動(dòng)能力。

在安全核查表中被歸類(lèi)為重大的安全項(xiàng)目中，例如，在選擇工作站硬件時(shí)Linux并未推薦品牌或型號(hào)，但希望該硬件應(yīng)具備SecureBoot功能，以協(xié)助抵抗Rootkits或Evil Maid等攻擊。開(kāi)機(jī)前執(zhí)行環(huán)境的重大安全建議包括UEFI開(kāi)機(jī)模式、進(jìn)入U(xiǎn)EFI配置必須輸入密碼，以及啟用SecureBoot。

在各種Linux版本的選擇上，Linux基金會(huì)建議企業(yè)所使用的版本該具備強(qiáng)大的MAC/RBAC功能，也應(yīng)有安全公告，適時(shí)提供安全修補(bǔ)程序，提供加密驗(yàn)證功能，完整支持UEFI 與SecureBoot，以及支持全硬盤(pán)加密。安裝規(guī)范則有使用全硬盤(pán)加密與強(qiáng)大密碼、確認(rèn)切換空間（swap）也是加密的、必須輸入密碼才能編輯bootloader、設(shè)定強(qiáng)大的最高權(quán)限密碼、使用無(wú)權(quán)限帳號(hào)，設(shè)定另一個(gè)供一般帳號(hào)使用的強(qiáng)大密碼。

在安裝后的安全強(qiáng)化被列為重大等級(jí)，包括關(guān)閉firewire 與thunderbolt模組、檢查防火墻以確認(rèn)所有進(jìn)入的連結(jié)埠都已經(jīng)過(guò)濾，以及確認(rèn)root郵件會(huì)轉(zhuǎn)寄到管理人員可收到的郵箱等。

對(duì)個(gè)人工作站的備份建議則是將加密的工作站備份到額外的儲(chǔ)存空間，另也建議管理人員使用兩種不同的瀏覽器，一種可用于各種任務(wù)，另一種則來(lái)存取與工作相關(guān)的、需要高度安全性的網(wǎng)站，并推薦用Chrome瀏覽器來(lái)瀏覽一般內(nèi)容，用Firefox加上各種外掛程序來(lái)存取與工作相關(guān)的網(wǎng)站。

在密碼管理上規(guī)則建議使用密碼管理員，在不同的網(wǎng)站使用不同的密碼，應(yīng)以強(qiáng)大的密碼來(lái)保護(hù)密鑰。

Linux基金會(huì)也強(qiáng)調(diào)這個(gè)操作規(guī)范只是提供基本的建議，在不影響便利的情況下避免遭遇常見(jiàn)的安全錯(cuò)誤，并非詳盡且全面的安全文件。