5个值得关注的最佳Linux安全发行版
安全加固对于Linux的各个发行版来说可并非什么新鲜玩意儿。可以说Linux的各个发行版都一直强调着安全及其相关元素,比如防火墙、渗透测试、无痕上网和隐私等。因此,安全相关概念和意识在各个发行版里的普遍程度也就不足为奇的。例如:Distrowatch.com网站就罗列的16个专注于防火墙的发行版和另外4个专注于隐私方面的版本。
然而,这些大多数专注于安全领域的发行版却有着一个通病:他们是专家用的工具,而不是给普通用户使用的。直到最近,一些安全发行版才试图将这些安全特性为桌面用户所易用。虽然这些安全易用的发行版多数仍处于发展阶段,但是在他们成为主流之前还是值得我们去探究一番的。下面按照字母顺序排列的方式列出五个主要易用的发行版:
Qubes OS
划分相互隔离的安全区是各个根帐户实施权限管理的固有特性。理论上通过把操作系统与其他部分隔离开,使得任何入侵都很容易被识别并关闭。对于Qubes 操作系统所构建的相互隔离的安全区而言,普通用户很容易通过桌面环境来轻易访问并实现到。
该发行版有三个安全域(又名AppVMs)——工作、个人、和不可信域。当然用户也可以添加他们自己的域。每个域可以提供诸如:桌面顶端的菜单条、所有窗口的边界颜色代码主题等设置,而且这些GUI元素的设置对用户都是一目了然的。用户的其他操作,如文件复制、开启一个临时域等都会在使用完毕后被自动关闭掉。
通常情况下,额外的安全级别往往要消耗额外多的内存。为了运行平稳, Qubes 操作系统需要至少8 GB的内存(RAM),而这是大多数在售电脑标准配置的两倍。然而,就我所知,还没有哪个发行版能将严格的安全元素如此彻底的集成到桌面环境的。当然,你完全可以避开这些繁琐的“预防措施”,因为如果你只需要烧录一张DVD盘的话,就完全用不着如此大动干戈。
Subgraph OS
目前已是阿尔法版本的Subgraph操作系统是由一小撮在蒙特利尔的安全专家所共同开发的。它的显著特色是将许多标准的安全功能集成到了桌面环境中。比如说:它在安装过程中,文件系统的加密是强制性的;而分区则始于随机覆盖的区域。同样,在桌面环境上,浏览器被设置为基于Tor(无痕上网代理项目),而在Mozilla Thunderbird上安装的是Enigmail插件并启用了电子邮件加密服务(即使用GPG方式)。
此外,Subgraph操作系统正在开发一个叫Oz的沙箱应用程序,其面板右上角有个沙箱里的应用程序列表。在阿尔法版本中,虽然仅有聊天、LibreOffice(Linux下的Office应用)和一些联系其他系统的自动沙箱应用程序,但其潜力是显而易见的。
Subgraph操作系统尤为令人印象深刻的是:可以通过使用现有的工具去收紧和加固其安全特性。当然相对于其他发行版而言,Subgraph操作系统过于严格的安全特性反而滞后了其易用性。
Tails
Tails被誉为最易于使用的安全版本。它被设计为可以从一个外部驱动器上运行起来。其名声大噪之处是其简单实现了Tor和I2P的无痕上网应用。当然它也有其他的工具,包括加密应用程序和安全删除等。
当然,如果没有被安装在一个驱动器的话,Tails基本上是运行在同一个安全域里的,这一点不如Qubes操作系统那样功能齐全。由于其系统里有许多解释性的链接,用户可以把它视为一个理想的关于各类安全问题的速查教程。您也许不会真正依赖Tails去处理各类业务安全,但对于那些需要研究各种工具和安全问题的人来说,它不乏该领域的最佳发行版。
可信安全节点(Trusted End Node Security)
可信安全节点(简称TENS,也曾叫做:轻量级便携式安全套件)和Tails比较类似,它被设计为从一个外部驱动启动后运行一个简版的Linux系统。因为没有安装什么包,所以root密码也不需要了。然而,正是因为没有用到持久性存储,所以恶意软件也只能影响当前会话。事实上,该项目网站建议用户在开始重要的交易之前以及访问了有风险的网站之后,一定要重新启动系统。
TENS还支持那些仅限于访问美国各类政府网站所需的CAC和PIV访问卡。然而,即使你没有这方面的访问需求,TENS相对于界面友好程度欠佳的Tails版本来说,在某种程度上还是先进了不少。
Whonix
Whonix 运行于Virtualbox之内。它由两个安装部分构成:Whonix网关,通常涉及到Tor和无痕上网代理;和桌面部分的安装。要使用该发行版,要先启动网关,然后才是桌面。网关和桌面都是通过Tor,并使用标准的Debian软件包工具进行升级的。通过在虚拟环境中运行一个单独的Tor网关,Whonix能提供两个额外的安全级别的保护。
Whonix桌面是一个配置工具的混合集,Whonix项目和其他安全工具有着紧密的联系。由于Whonix使用KDE环境,它提供如KGpg之类的工具。当然,其gpg接口可能对一些人来说并不是很熟悉。虽然Whonix不如Qubes 和Subgraph操作系统那样用户界面友好,但是其独特设置步骤还是值得那些想让自己熟悉各类安全性配置的用户去使用的。
其他Linux安全版本的选择
值得注意的是:使用任何这些Linux安全发行版都将改变您的工作流程与习惯。例如,在 Qubes操作系统里,简单的复制操作需要增加额外的指定“复制到哪个安全域”的步骤。如果这种改变对您来说是太大的“跨越”的话,您可能会更愿意寻找一些略低于您的安全要求的发行版的应用。比如说:Firejail,它是用前缀的方式将各种应用程序的执行命令放到Firejail沙盒里进行安全加固。当然它这种以容器的形式会快速增加许多比较消耗系统资源的沙盒。