只需几个小妙招，就可简化你的Linux安全风险

【51CTO.com快译】从爱德华·斯诺登披露信息到物联网的潜在问题和最新恶意软件，安全和隐私是不间断的新闻话题。问题在于，虽然每个人都关注安全和隐私，可是很少有人知道对安全和隐私该怎么做是好。幸好，Linux有无数的工具可以处理这些问题，又不需要每个人都成为专家。

　　受Windows的影响，大多数Linux用户在思考问题时着眼于应对措施，比如反病毒软件和防火墙。然而，最有效的工具通常是架构方面的，对操作系统进行更改，从根本上预防或遏制入侵。

　　比如说，一款有效的工具是umask(https://www.cyberciti.biz/tips/understanding-linux-unix-umask-value-usage.html)，它为创建新的文件和目录设定了默认的许可权限。许多发行版对umask进行了设置，那样谁都可以查看文件，但只有文件的所有者才能编辑文件。然而，如果更改默认值，只有所有者才能查看或编辑文件，就可以大大提高系统的安全。

　　遗憾的是，这样的工具外面有许许多多，所以要全部学习掌握是项艰巨的任务。即便使用SE Linux(https://selinuxproject.org/page/Main_Page)也不见得更好，因为它通常需要一段调整适应期，用户在安全和自己的便利之间找到合理的平衡。这款工具具有这个优点：它运用了一组加固规则，用户基本上不需要干预。不止一个用户关闭了SE Linux，而不是使用它，这就表明了它有多难。

　　没有经验的用户可能最好使用概览或帮助用户了解种种可能的向导程序。不管怎样，这个过程就叫加固(hardening)。

　　Linux加固的捷径

　　十年前，最出色的通用加固工具无疑是Bastille Linux(https://sourceforge.net/projects/bastille-linux/)，尤其是在Debian和Linux上。遗憾的是，这个项目显然不再得到开发或维护了。

　　Ubuntu仍有运行Bastille的加固向导程序的指令，赛门铁克发布了针对向导程序内容的描述(https://www.symantec.com/connect/articles/bastille-linux-walkthrough)。

　　有兴趣了解知识和结果的那些人可以逐个查阅这些资源，需要的话可以研究一番，最后就能大大提高系统的安全性。用这些过时的资源加固系统方面可能存在不足，但是可能不会――自Bastille的上一次改动以来，Linux操作系统的基本面可能并没有发生太大的变化。

　　然而，我觉得大多数用户更对结果有兴趣。我建议他们使用CISOfy的Lynis(https://github.com/CISOfy/Lynis)，它公开自称是Bastille的更新版。实际上，Lynis的用途比Bastille更广泛，不是针对特定的发行版。

　　Lynis提供了几种安装方式，包括直接从Github安装，基本的命令是lynis install audit，它运行数百项测试。结果输出到日志文件，未满足Lynis标准的每一项都附有建议采取的动作。

　　此外，Lynis提供了安全漏洞渗透测试，运行的选项通常是计划任务(cronjob)。额外的测试也可以作为插件添加上去。

　　除了运行Lynis外，你还应该查看发行版的说明文档，以便防止忽视任何独特的功能特性。尤其是Arch Linux(https://wiki.archlinux.org/index.php/Security)和Debian都有详细的加固参考资料，对其他发行版来说可能也很有用――尤其是Debian，它是许多现代发行版的根源，包括Ubuntu和Linux Mint。要说有什么区别的话，Debian的困难在于找到最密切相关的维基页面，这要看你感兴趣的是一般加固、内核加固还是软件包加固。

　　为了以防万一，在做出任何加固变更之前，先对系统备份。由于没有留意所做的变更，不止一个热心过头的新用户结果无法使用自己的系统。另外至少要花几个小时来了解和评估所有可能的变更――首先，别急吼吼。以后你总是可以返回到可能的变更。

　　桌面工具和发行版

　　一旦你加固了系统，应该想一想使用哪些工具。这包括使用Tor的匿名浏览、电子邮件加密(大多数邮件阅读工具中的一个选项)以及使用Cryptocat的安全聊天。你可能还应该开始制定一项政策：使用密码保存你的所有个人办公文档。

　　这些建议假设，你愿意为了获得所需的结果而捣鼓一番。如果你不想如此深入地探究安装的Linux，可以改而选择一种关注安全的发行版。

　　如果你的系统至少有8GB内存，那么Qubes OS(https://www.qubes-os.org)可能是合适的发行版。Qubes OS不仅让你可以在拥有不同的色标安全级别的情况下运行，还可以将工具直接放入到桌面环境的菜单中。

　　不然，倾向于无政府语义的MOFO Linux(http://mofolinux.com)更可能是你需要的，或者是仍在开发之中的Subgraph OS(https://subgraph.com)。

　　如果你连发行版都不想选择，那该怎么办?那么至少应该安装Firejail(https://firejail.wordpress.com)。Firejail在沙盒里面运行程序，将程序隔离开来，尽量减少可能出现的危害。它安装时随带针对常见桌面应用程序的几十种配置文件，还有面向其他一切的通用配置文件。你只要在命令前面加上firejail，调整菜单项和桌面启动器就行了。

　　安全和隐私是个没完没了的研究话题，也是许多用户不想深入探究的。然而，本文给出的建议让你只要花少量精力，就可以降低风险。

　　原文标题：Linux Security Made Simple

　　作者：Bruce Byfield

【51CTO译稿，合作站点转载请注明原文译者和出处为51CTO.com】