【51CTO.com快譯】從愛德華·斯諾登披露信息到物聯(lián)網(wǎng)的潛在問題和最新惡意軟件，安全和隱私是不間斷的新聞話題。問題在于，雖然每個人都關(guān)注安全和隱私，可是很少有人知道對安全和隱私該怎么做是好。幸好，Linux有無數(shù)的工具可以處理這些問題，又不需要每個人都成為專家。

　　受Windows的影響，大多數(shù)Linux用戶在思考問題時著眼于應(yīng)對措施，比如反病毒軟件和防火墻。然而，最有效的工具通常是架構(gòu)方面的，對操作系統(tǒng)進(jìn)行更改，從根本上預(yù)防或遏制入侵。

　　比如說，一款有效的工具是umask(https://www.cyberciti.biz/tips/understanding-linux-unix-umask-value-usage.html)，它為創(chuàng)建新的文件和目錄設(shè)定了默認(rèn)的許可權(quán)限。許多發(fā)行版對umask進(jìn)行了設(shè)置，那樣誰都可以查看文件，但只有文件的所有者才能編輯文件。然而，如果更改默認(rèn)值，只有所有者才能查看或編輯文件，就可以大大提高系統(tǒng)的安全。

　　遺憾的是，這樣的工具外面有許許多多，所以要全部學(xué)習(xí)掌握是項艱巨的任務(wù)。即便使用SE Linux(https://selinuxproject.org/page/Main_Page)也不見得更好，因為它通常需要一段調(diào)整適應(yīng)期，用戶在安全和自己的便利之間找到合理的平衡。這款工具具有這個優(yōu)點：它運用了一組加固規(guī)則，用戶基本上不需要干預(yù)。不止一個用戶關(guān)閉了SE Linux，而不是使用它，這就表明了它有多難。

　　沒有經(jīng)驗的用戶可能最好使用概覽或幫助用戶了解種種可能的向?qū)С绦?。不管怎樣，這個過程就叫加固(hardening)。

　　Linux加固的捷徑

　　十年前，最出色的通用加固工具無疑是Bastille Linux(https://sourceforge.net/projects/bastille-linux/)，尤其是在Debian和Linux上。遺憾的是，這個項目顯然不再得到開發(fā)或維護(hù)了。

　　Ubuntu仍有運行Bastille的加固向?qū)С绦虻闹噶?，賽門鐵克發(fā)布了針對向?qū)С绦騼?nèi)容的描述(https://www.symantec.com/connect/articles/bastille-linux-walkthrough)。

　　有興趣了解知識和結(jié)果的那些人可以逐個查閱這些資源，需要的話可以研究一番，最后就能大大提高系統(tǒng)的安全性。用這些過時的資源加固系統(tǒng)方面可能存在不足，但是可能不會――自Bastille的上一次改動以來，Linux操作系統(tǒng)的基本面可能并沒有發(fā)生太大的變化。

　　然而，我覺得大多數(shù)用戶更對結(jié)果有興趣。我建議他們使用CISOfy的Lynis(https://github.com/CISOfy/Lynis)，它公開自稱是Bastille的更新版。實際上，Lynis的用途比Bastille更廣泛，不是針對特定的發(fā)行版。

　　Lynis提供了幾種安裝方式，包括直接從Github安裝，基本的命令是lynis install audit，它運行數(shù)百項測試。結(jié)果輸出到日志文件，未滿足Lynis標(biāo)準(zhǔn)的每一項都附有建議采取的動作。

　　此外，Lynis提供了安全漏洞滲透測試，運行的選項通常是計劃任務(wù)(cronjob)。額外的測試也可以作為插件添加上去。

　　除了運行Lynis外，你還應(yīng)該查看發(fā)行版的說明文檔，以便防止忽視任何獨特的功能特性。尤其是Arch Linux(https://wiki.archlinux.org/index.php/Security)和Debian都有詳細(xì)的加固參考資料，對其他發(fā)行版來說可能也很有用――尤其是Debian，它是許多現(xiàn)代發(fā)行版的根源，包括Ubuntu和Linux Mint。要說有什么區(qū)別的話，Debian的困難在于找到最密切相關(guān)的維基頁面，這要看你感興趣的是一般加固、內(nèi)核加固還是軟件包加固。

　　為了以防萬一，在做出任何加固變更之前，先對系統(tǒng)備份。由于沒有留意所做的變更，不止一個熱心過頭的新用戶結(jié)果無法使用自己的系統(tǒng)。另外至少要花幾個小時來了解和評估所有可能的變更――首先，別急吼吼。以后你總是可以返回到可能的變更。

　　桌面工具和發(fā)行版

　　一旦你加固了系統(tǒng)，應(yīng)該想一想使用哪些工具。這包括使用Tor的匿名瀏覽、電子郵件加密(大多數(shù)郵件閱讀工具中的一個選項)以及使用Cryptocat的安全聊天。你可能還應(yīng)該開始制定一項政策：使用密碼保存你的所有個人辦公文檔。

　　這些建議假設(shè)，你愿意為了獲得所需的結(jié)果而搗鼓一番。如果你不想如此深入地探究安裝的Linux，可以改而選擇一種關(guān)注安全的發(fā)行版。

　　如果你的系統(tǒng)至少有8GB內(nèi)存，那么Qubes OS(https://www.qubes-os.org)可能是合適的發(fā)行版。Qubes OS不僅讓你可以在擁有不同的色標(biāo)安全級別的情況下運行，還可以將工具直接放入到桌面環(huán)境的菜單中。

　　不然，傾向于無政府語義的MOFO Linux(http://mofolinux.com)更可能是你需要的，或者是仍在開發(fā)之中的Subgraph OS(https://subgraph.com)。

　　如果你連發(fā)行版都不想選擇，那該怎么辦?那么至少應(yīng)該安裝Firejail(https://firejail.wordpress.com)。Firejail在沙盒里面運行程序，將程序隔離開來，盡量減少可能出現(xiàn)的危害。它安裝時隨帶針對常見桌面應(yīng)用程序的幾十種配置文件，還有面向其他一切的通用配置文件。你只要在命令前面加上firejail，調(diào)整菜單項和桌面啟動器就行了。

　　安全和隱私是個沒完沒了的研究話題，也是許多用戶不想深入探究的。然而，本文給出的建議讓你只要花少量精力，就可以降低風(fēng)險。

　　原文標(biāo)題：Linux Security Made Simple

　　作者：Bruce Byfield

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】