■郑恬
Linux公布工作站安全操作规范
■郑恬
近日Linux基金会(Linux Foundation)通过GitHub发布了基金会内所使用的Linux工作站安全操作规范供企业参考。该该规范包括列出硬件、开机前执行环境、Linux版本别、安装规范、安装后的安全强化、个人工作站备份、浏览器、密码管理、安全密钥、SELinux等类别的安全核查清单,并说明了相关的安全检查。
各类核查清单中的每个项目都有各自的重要等级,从重大(Critical)、一般(Moderate)、低(Low)到偏执(Paranoid)不等。“重大”代表若未实施可能会惹来高风险。“一般”意味著可改善安全,但不那么重要。较低等级的项目虽然也能增进安全,但也许不值得牺牲工作站的便利性。“偏执”则是最能保障安全的选项,只是可能得大幅牺牲与系统的互动能力。
在安全核查表中被归类为重大的安全项目中,例如,在选择工作站硬件时Linux并未推荐品牌或型号,但希望该硬件应具备SecureBoot功能,以协助抵抗Rootkits或Evil Maid等攻击。开机前执行环境的重大安全建议包括UEFI开机模式、进入UEFI配置必须输入密码,以及启用SecureBoot。
在各种Linux版本的选择上,Linux基金会建议企业所使用的版本该具备强大的MAC/RBAC功能,也应有安全公告,适时提供安全修补程序,提供加密验证功能,完整支持UEFI 与SecureBoot,以及支持全硬盘加密。安装规范则有使用全硬盘加密与强大密码、确认切换空间(swap)也是加密的、必须输入密码才能编辑bootloader、设定强大的最高权限密码、使用无权限帐号,设定另一个供一般帐号使用的强大密码。
在安装后的安全强化被列为重大等级,包括关闭firewire 与thunderbolt模组、检查防火墙以确认所有进入的连结埠都已经过滤,以及确认root邮件会转寄到管理人员可收到的邮箱等。
对个人工作站的备份建议则是将加密的工作站备份到额外的储存空间,另也建议管理人员使用两种不同的浏览器,一种可用于各种任务,另一种则来存取与工作相关的、需要高度安全性的网站,并推荐用Chrome浏览器来浏览一般内容,用Firefox加上各种外挂程序来存取与工作相关的网站。
在密码管理上规则建议使用密码管理员,在不同的网站使用不同的密码,应以强大的密码来保护密钥。
Linux基金会也强调这个操作规范只是提供基本的建议,在不影响便利的情况下避免遭遇常见的安全错误,并非详尽且全面的安全文件。