早在今年 4 月就發(fā)布了的 ??Ubuntu 22.04 LTS??，是迄今為止最安全的 Ubuntu 版本。

其安全更新的延長支持、新的硬件支持和其他林林總總的改進，使它在安全方面遠遠超過了之前的所有版本。

但它是如何做到這一點的呢？還有，是什么讓這個版本與以前的版本不同的呢？

嗯，有幾個原因，Canonical 在一篇新的博客文章中為我們重點指出了這些。在這里，讓我總結一下，以幫助你了解更多。

是什么讓 Ubuntu 22.04 LTS 變得安全？

在這個版本中，Ubuntu 團隊似乎投入了大量的工作來確保其長期的安全性和可靠性。盡管多年來他們以難以想象的方式做到了這一點，但我將強調(diào)其中的幾件事：

• 改進的硬件安全措施支持
• 更新了安全包
• 私有家目錄
• OpenSSL 3
• GCC 11
• nftables 作為默認的防火墻后端
• Linux 內(nèi)核改進

1、改進的硬件安全措施支持

隨著英特爾、AMD 和 ARM 的 CPU/SoC 開始推出更多的安全措施，擁有足夠的軟件來讓這些功能發(fā)揮作用就變得越來越重要。

截至目前，Ubuntu 22.04 支持三種主要的硬件安全措施。

英特爾的 “軟件保護擴展Software Guard eXtensions”（SGX）提供了一個安全獨立的區(qū)域來進行敏感計算。例如，理想情況下，密碼處理將在這里進行，因為它確保沒有其他應用程序可以訪問這些數(shù)據(jù)。

還有 AMD 的“安全加密虛擬化Secure Encrypted Virtualization”（SEV）。這項技術旨在防止主機操作系統(tǒng)干擾正在運行的虛擬機。

盡管這與桌面用戶的相關性不如其他技術，但要知道，很多數(shù)據(jù)中心的基礎設施都依賴虛擬機來實現(xiàn)應用的容器化?？偟膩碚f，此類針對硬件的安全措施應該會加強對桌面和服務器用戶的保護。

2、Linux 內(nèi)核安全的改進

隨著 Ubuntu 的每一次發(fā)布，Linux 內(nèi)核都會得到升級，提供了許多有用的功能和支持。

但是，這一次，Canonical 推出了針對不同的平臺的優(yōu)化內(nèi)核版本。對于 OEM 認證的桌面設備，它提供了 ??Linux 內(nèi)核 5.17??。

而對于所有的桌面和服務器用戶，可以使用 ??Linux 內(nèi)核 5.15 LTS??。

不僅僅限于這個概念，在 ??博文?? 中提到的一些基本內(nèi)核安全增強措施包括：

• 支持??核心調(diào)度??，它允許進程控制哪些線程可以在 SMT 同級之間調(diào)度，以便讓它們保護敏感信息，而不泄露給系統(tǒng)中其他不受信任的進程。
• 內(nèi)核堆棧隨機化提供了一種加固措施，以挫敗希望在內(nèi)核內(nèi)進行內(nèi)存破壞攻擊的攻擊者。
• BPF 子系統(tǒng)也有一些安全方面的增強，包括默認情況下限制為只有特權進程可以使用，以及對簽名的 BPF 程序的初步支持。
• 新的 Landlock Linux 安全模塊的加入為應用程序沙箱提供了另一種機制，可以通過 AppArmor 或 SELinux 與更傳統(tǒng)的方式結合使用。

總之，所有這些改進使 Ubuntu 22.04 LTS 成為開發(fā)者、用戶和系統(tǒng)管理員的更安全的選擇。

3、更新的安全軟件包

讓我們從技術性的安全概念退后一步，回到每個 Ubuntu 用戶都應該已經(jīng)熟悉的概念：軟件包。每一個新的 Ubuntu 版本，軟件庫中的大多數(shù)軟件包都會更新，以帶來更好的安全性和新功能。

盡管對于 Ubuntu 22.04 來說，這并不完全是新的東西，但這確實包括了很多安全方面的更新。這方面的例子包括 openSSL 3 和 GCC 11。

4、OpenSSL 3

OpenSSL 是所有安全通信的支柱。

考慮到包括 MD2 和 DES 在內(nèi)的許多傳統(tǒng)算法已經(jīng)被廢棄并默認禁用，OpenSSL 3 作為一個重大的升級特別值得關注。

因此，除非用戶特別想使用不太安全的算法，否則你將在默認情況下獲得最好的安全性。

5、GCC 11

另一方面，GCC 是許多開發(fā)者用來將他們的代碼變成可以在你的計算機上運行的程序的編譯器。

它帶來了許多改進，但有一項特別顯著地提高了安全性。靜態(tài)分析得到了極大的加強，使開發(fā)人員能夠更快地發(fā)現(xiàn)軟件的漏洞，在第一步就防止有漏洞的代碼被發(fā)布。

這可能不會直接影響到用戶，許多開發(fā)人員使用 Ubuntu 來開發(fā)他們的應用程序。因此，你下載的很多程序，即使在非 Ubuntu 系統(tǒng)上，也應該比以前更安全。

6、私有家目錄

作為一個傳統(tǒng)上以桌面為重點的發(fā)行版，Ubuntu 經(jīng)常選擇方便而不是安全。然而，隨著他們越來越努力地推動云計算的采用，這種情況必須改變。

以前，任何有權限進入電腦的人都可以打開并查看任何用戶的家目錄。然而，你可以想象，這給非桌面用戶帶來了很多問題。因此，需要改變?yōu)樗接屑夷夸洝?/p>

對于多用戶系統(tǒng)來說，這可能稍顯不方便，但這可以相對容易地改變。而且，對于那些不太熟悉技術的人來說，他們不需要做任何事情就可以得到更好的安全保障。

7、nftables 作為默認防火墻后端

25 年來，防火墻一直是將你的計算機與更廣泛的互聯(lián)網(wǎng)隔離開來的一個關鍵部分。這些年來，Linux 發(fā)行版通常使用兩種不同的防火墻解決方案：iptables 和 xtables。

然而，近些年來，一種不同的解決方案進入了人們的視野：nftables。它提供了顯著的性能和靈活性的改進，使網(wǎng)絡管理員能夠更好地保護你的設備。

總結

毋庸置疑，Ubuntu 22.04 LTS 做了很多不錯的升級。不僅僅是用戶體驗，它在安全方面也是一個重大的飛躍。

當然，還有更多，但上面提到的改進是很好的成就！