<b>Linux安全的过去与目前</b>[Linux安全]

Linux本身并非一个安全的操作系统.这是因为Linux是在UNIX的构造计划底子之上举行开辟的,而UNIX的开辟者关于安全问题并没有非常关心——毕竟那是在1969年.

“首先要面对的是事实是,UNIX的开辟者并没有考虑安全问题.单单这一点就会引发大量的漏洞,”Dennis Ritchie在1979年他《关于UNIX的安全》的论文中写道.

上周二在波士顿的LinuxCon上,红帽公司Linux内核开辟者的James Morris评论了Linux在过去十年里是若何演变来降服自身安全模子的不足.

Morris指出,问题是在UNIX诞生的60年代末,每个人都认为我们目前能拥有会飞的汽车,但事实是我们有了Facebook.我们本日用计算机在做的事情大概是40多年前人们的幻想,固然我们仍旧依靠于数十年前计划的操作系统.

这就是Linux开辟人员所面对的挑衅.Morris说,为了确保Linux的安全,软件工程师必须在Linux内核四周插入安全组件.Linux最早的安全机制是UNIX DAC,后来连续呈现了POSIX、拜候掌握列表、私有和PID命名空间、加密、Linux安全模块、SELinux、Smack、TOMOYO、 Apparmor,近似的名单仍在持续.

但是拥有这么多挑选,用户们反而会认为茫然.这有点像进入了一个“酷圣石”冰激凌店,然后你会被一长串配方和冰激凌口味弄得无所适从.不如老诚恳实地按照自己预定的食谱来选,大概更简单,直接从四周的杂货店挑一品脱樱桃加西亚.

眼花缭乱的Linux安全选项

Linux无数的安全选项不但阻碍了安全技术的发展,同时也为成立安全的Linux服务器和工作站制造了艰难.比方,一个用户大概系统管理员不得不去决意能否要开启Smack、TOMOYO、SELinux还是Apparmor.做这样的决意并不像想象的那么简单,因为这些技术中的很多都办理近似的问题,只是它们的处理方法略有差别.比方说,Novell为它的SUSE Linux企业服务器开辟了AppArmor,它是SELinux的竞争对手.Novell在其AppArmor网站上公布了两种技术的对比.后果是,Apparmor拥有更简单的配置文件格局(注:很多用户一向认为SELinux的安全级别设置非常麻烦,乃至也有报道说SELinux会招致安全问题,因此有很多教程都是教人若何干闭SELinux的).

我们还没有谈论关于网络安全、存储安全和恶意软件预防.这触及到为数据包过滤设置防火墙.至于禁止恶意软件,目前有几个处于差别发展阶段的项目,比方fsnotify、TALPA 和DazukoFS.

Morris还说,最大的问题是“让人们熟习到安全办法是必要的.”

“这不像系安全带.”Morris说,“我们不能让法律来制约人们设置安全的Linux服务器和工作站.我们必须说服人们,这样做对他们有利.”

Linux安全机制的透明化

因此,我们需求让安全选项尽大概的透明化,而不是让绝大大都Linux用户苦苦挣扎于无数的安全选项中,Morris说.

透明化是AppArmor的既定目标之一.SUSE的Tony Jones说,“AppArmor的目的是关于利用软件实现高度透明:假如你在一个工作系统中增添AppArmor,你需求开辟AppArmor配置文件,但是不用改变你的利用程序.假如将AppArmor从一个正在运行的系统中移除,系统仍将完好像之前一样持续运行,只是没有Apparmor安全保护罢了.”

固然SELinux的配置文件比Apparmor的更麻烦,但是透明化也是它的目标之一.红帽称,“SELinux插入Linux安全模块(LSM)可认为多个普通网络面利用程序处理网络核心层拜候恳求.关于这些利用程序,基于SELinux的安全部系不需求举行额外的管理.此外,对用户和利用程序而言,它是完好透明的.”

提高透明度的好处是它可以削减人为的安全威胁.人们就像水一样,喜好探求没有阻碍的道路.假如系统管理员需求通过编写烦琐的配置文件和页面来设置一个安全的系统,那么他们中的很多人大概很简单地就灰心了.

“安全问题归根结底是人的问题,”安全专家Bruce Schneier说. 　　以上是“<b>Linux安全的过去与目前</b>[Linux安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：