位置:海鸟网 > IT > linux/Unix >

详细讲解家用Linux的实用安全

大部分现代家用计算机用户赶上这种情况,他们必须使他们的计算机免于各种令人不快的事情:反计算机病毒,反垃圾邮件,防火墙都已进入普通百姓的日常用语。即使不用雷德蒙的‘那个’操作系统,是否仍然与此直接有关?而且应该使用什么软件包?

  简短的回答是直接有关,计算机安全人人有责。OK,如果你的计算机有专门的用途,与网络没有互相影响即没有建立任何连接,并且不曾读过一张软盘或CD或其他必需的媒体,那么,这种情形就不必运行任何这样的应用软件。

  然而,人们最有可能发现,这样的计算机是作为后台财务系统或者在实验室运行专门的科学软件。绝不使用计算机读e-mail,不浏览网络,不读iTWire,也不做(电子)银行业务。

  使用那些计算机必需更加审慎。我们都知道Microsoft Windows像粪便吸引苍蝇一样吸引病毒程序编写者和恶意软件,但在任何关于一个反病毒系统是否比另一个更臃肿的争论中,Linux用户很少加入。

  确实,有些银行甚至还在考查Linux Live CDs,以供客户使用。在这种环境中,Internet银行用户将从Linux CD启动计算机,然后在Linux环境里面执行在线银行业务。要是已经使用Linux,那么,实际上就不需要这个,但这证明Linux提供给终端用户对安全防范与安全设施的理解在Microsoft Windows之上。

  这种理解是公正的:当你用Google搜索“Windows病毒爆发”对“Linux病毒爆发”,应该检查到不同性质的结果。Windows的结果谈到新病毒攻击商业网络,大规模病毒爆发和证人描述以及很大部分的蓝屏死机与病毒和恶意软件有关。反之,Linux的结果谈到可用的不同反病毒产品,通常提及的“爆发”一词出现在“有大量病毒爆发成为新闻”的上下文,也出现在提出为何Linux保护自己免遭病毒比Windows更好这种忠告的文章中。在线实际上找不到谈及任何侵袭Linux计算机的较大规模病毒爆发的文章。

  对此存在一些好的理由。Microsoft的辩护者将指出,因为使用Windows的人更多,对于病毒编写者来说,它有更高的有效载荷。这种论据简直是诡辩,它掩饰事实的真相。事实上,Linux默认是安全的,而且Linux用户习惯于非常合情合理和安全的工作方式。最明显的事实是,Linux用户毕竟很少以根超级用户登录。这意味着,即使执行了恶意程序,也不可能窜改任何系统文件。它不能删除系统文件。它在启动时会引起新的服务以自动装入并运行。

  但是,虽然如此,在Linux上反病毒也是一个好主意。我将告诉你为什么。

  答案是因为你大概想在某一时刻与Windows用户交互。这是正确的;如果是Linux用户,就不必为了自己个人的用途即保护而运行任何反病毒系统。你不会染上Microsoft Word的宏病毒。你不会被多年的大字标题病毒爆发击中。

  不过,你可能从家里和朋友收到你应该传递给运行Windows者的笑话。你可能把文件存储在Windows客户访问到的Samba服务器。你也许为Windows机器运行POP服务器。

  这些Windows客户中的每一个都潜伏着被任何病毒感染的危险,如果你正是他们从中感染的一个(服务器),那不就糟糕了吗?一方面,粗略地看,为了别人的利益,你应该不怕麻烦,但另一方面,这是做一个好网民的一部分。我过去曾提到Linux主机系统就像伤寒病带者一样传递病毒。玛丽四处走动,伤寒感染了47人。她携带这种疾病,但她自己竟然没有遭受任何有害的影响。

同样地,传递病毒的Linux系统尽管没有伤害自己,也是瘟疫的传播者。或许我过于戏剧化,但是,听到有人受病毒折磨我本人感到沮丧,这个病毒通过我的网络时没有探测到或标记。

  Windows为什么如此易受攻击,又回到我刚刚说的话;与Linux完全相反,Microsoft Windows用户一直习惯于以全部管理特权登录。第三方软件供应商无可责备;所以许多应用软件拒绝安装或者正确运行,除非作为管理员用户操作。我见过不注意地打开静态配置文件读写的劣质程序 —— 尽管它们实际上永远不需要写这种文件 ——因为配置文件存储在目录C:\Program Files中,于是,用户需要高层的特权;非管理员用户不能写这个目录。请求软件帮助服务时,其解决办法是“确保用户是本地管理员”这种陈腔滥调。然而,在连点击两次鼠标也没有的时间内,这家公司就停业清理,但这只是许多例子之一。

  Linux软件显然也需要以某种方式安装。而且一些应用软件编写目录和配置文件。设想一下,如果处理到来的电子邮件的程序无论何处都不能存储数据!然而,差异是故意地。从一开始,Linux就以这样的概念建筑,被提名的程序可以象超级用户一样运行,但只有明确指定的程序才行。而普通用户为了安装新程序,可以临时成为超级用户。这是很不容易改的习惯,主要通过使用sudo命令,Linux用户知道只能提高他们要求的特权,而且每次持续一个命令的时间。

  Microsoft已经试图在Windows Vista内部通过用户存取控制(UAC),纠正这种非常糟糕的缺陷。然而,我怀疑有人需要期待发现对UAC如何工作的抱怨。这也许不是Microsoft的过错,而宁可说是许多软件对于管理存取仍然寄予太多不合理要求,以致于UAC的提示看来是过分的。无论如何,存在禁止UAC的选项,这个选项将使系统正如早先的Windows版本一样易受攻击。

  因此,结果是数百万Windows用户被看作计算机的超级用户运行Outlook和IE。他们运行的任何程序 —— 无论好歹 —— 都有完整的权限,无拘无束访问系统。相反,简直找不到Linux用户键入“sudo firefox”。

  这一切说明,不因操作系统的不同而改变的一件事是需要一面防火墙。这个软件限制进出Internet的通信。你可能运营一个内部使用却不想向外界暴露的网站。在这种情况下,封锁防火墙的端口80将防止任何不在你的网络里面的人浏览你的网点。

  事实上,应该默认地阻挡所有Internet通信,然后启动想要使用的端口。这意味着你准确了解什么是允许的,而且结果将保护系统中正在运行的你不知道的服务,例如,象FTP、Web和邮件服务器。防火墙也适合保护你不受拒绝服务攻击。

  现代世界另一个至关紧要的软件是反垃圾邮件系统。无论在什么地方,或者无论运行什么软件,你都是Viagra售货员和死去的皇室亲属的目标,后者有权使用数不清多少百万的金钱,只要你给他们寄一些现金。许多非索要信息毫无意义;我收过一个阴茎增大广告,但是读不明白任何关于把监狱做大的事情。也许我误解了。

  所以,让我们总结一下。家用计算机安全有三条 —— 反病毒、防火墙和反垃圾邮件。Linux是比Windows安全的系统;这不是花言巧语,而是由于不同的设计和反复向终端用户灌输的“正确”工作方式。然而,如果希望连接到任何其他计算机,应该竭尽全力考虑每个人的安全。

  对于Linux来说,一个良好的免费开源反病毒系统是ClamAV。称为iptables的卓越防火墙已经内置。它可以按你可能喜欢的情形微妙配置,检查L7Filter。至于反垃圾邮件,试试Anti-Spam SMTP Proxy (ASSP)。

  提高警惕,确保安全。让我们听听你的想法。你认为有没有其他种强制性条款保证家用计算机安全?有没有更好的软件推荐?或者你认为这一切都是浪费时间,而且反病毒简直是毫无必要地加重处理器的负担?