萬盛學電腦網

 萬盛學電腦網 >> Linux教程 >> 詳細講解家用Linux的實用安全

詳細講解家用Linux的實用安全

class="21718">

  大部分現代家用計算機用戶趕上這種情況,他們必須使他們的計算機免於各種令人不快的事情:反計算機病毒,反垃圾郵件,防火牆都已進入普通百姓的日常用語。即使不用雷德蒙的‘那個’操作系統,是否仍然與此直接有關?而且應該使用什麼軟件包?

  簡短的回答是直接有關,計算機安全人人有責。OK,如果你的計算機有專門的用途,與網絡沒有互相影響即沒有建立任何連接,並且不曾讀過一張軟盤或CD或其他必需的媒體,那麼,這種情形就不必運行任何這樣的應用軟件。

  然而,人們最有可能發現,這樣的計算機是作為後台財務系統或者在實驗室運行專門的科學軟件。絕不使用計算機讀e-mail,不浏覽網絡,不讀iTWire,也不做(電子)銀行業務。

  使用那些計算機必需更加審慎。我們都知道Microsoft Windows像糞便吸引蒼蠅一樣吸引病毒程序編寫者和惡意軟件,但在任何關於一個反病毒系統是否比另一個更臃腫的爭論中,Linux用戶很少加入。

  確實,有些銀行甚至還在考查Linux Live CDs,以供客戶使用。在這種環境中,Internet銀行用戶將從Linux CD啟動計算機,然後在Linux環境裡面執行在線銀行業務。要是已經使用Linux,那麼,實際上就不需要這個,但這證明Linux提供給終端用戶對安全防范與安全設施的理解在Microsoft Windows之上。

  這種理解是公正的:當你用Google搜索“Windows病毒爆發”對“Linux病毒爆發”,應該檢查到不同性質的結果。Windows的結果談到新病毒攻擊商業網絡,大規模病毒爆發和證人描述以及很大部分的藍屏死機與病毒和惡意軟件有關。反之,Linux的結果談到可用的不同反病毒產品,通常提及的“爆發”一詞出現在“有大量病毒爆發成為新聞”的上下文,也出現在提出為何Linux保護自己免遭病毒比Windows更好這種忠告的文章中。在線實際上找不到談及任何侵襲Linux計算機的較大規模病毒爆發的文章。

  對此存在一些好的理由。Microsoft的辯護者將指出,因為使用Windows的人更多,對於病毒編寫者來說,它有更高的有效載荷。這種論據簡直是詭辯,它掩飾事實的真相。事實上,Linux默認是安全的,而且Linux用戶習慣於非常合情合理和安全的工作方式。最明顯的事實是,Linux用戶畢竟很少以根超級用戶登錄。這意味著,即使執行了惡意程序,也不可能竄改任何系統文件。它不能刪除系統文件。它在啟動時會引起新的服務以自動裝入並運行。

  但是,雖然如此,在Linux上反病毒也是一個好主意。我將告訴你為什麼。

  答案是因為你大概想在某一時刻與Windows用戶交互。這是正確的;如果是Linux用戶,就不必為了自己個人的用途即保護而運行任何反病毒系統。你不會染上Microsoft Word的宏病毒。你不會被多年的大字標題病毒爆發擊中。

  不過,你可能從家裡和朋友收到你應該傳遞給運行Windows者的笑話。你可能把文件存儲在Windows客戶訪問到的Samba服務器。你也許為Windows機器運行POP服務器。

  這些Windows客戶中的每一個都潛伏著被任何病毒感染的危險,如果你正是他們從中感染的一個(服務器),那不就糟糕了嗎?一方面,粗略地看,為了別人的利益,你應該不怕麻煩,但另一方面,這是做一個好網民的一部分。我過去曾提到Linux主機系統就像傷寒病帶者一樣傳遞病毒。瑪麗四處走動,傷寒感染了47人。她攜帶這種疾病,但她自己竟然沒有遭受任何有害的影響。

  同樣地,傳遞病毒的Linux系統盡管沒有傷害自己,也是瘟疫的傳播者。或許我過於戲劇化,但是,聽到有人受病毒折磨我本人感到沮喪,這個病毒通過我的網絡時沒有探測到或標記。

  Windows為什麼如此易受攻擊,又回到我剛剛說的話;與Linux完全相反,Microsoft Windows用戶一直習慣於以全部管理特權登錄。第三方軟件供應商無可責備;所以許多應用軟件拒絕安裝或者正確運行,除非作為管理員用戶操作。我見過不注意地打開靜態配置文件讀寫的劣質程序 —— 盡管它們實際上永遠不需要寫這種文件 ——因為配置文件存儲在目錄C:Program Files中,於是,用戶需要高層的特權;非管理員用戶不能寫這個目錄。請求軟件幫助服務時,其解決辦法是“確保用戶是本地管理員”這種陳腔濫調。然而,在連點擊兩次鼠標也沒有的時間內,這家公司就停業清理,但這只是許多例子之一。

  Linux軟件顯然也需要以某種方式安裝。而且一些應用軟件編寫目錄和配置文件。設想一下,如果處理到來的電子郵件的程序無論何處都不能存儲數據!然而,差異是故意地。從一開始,Linux就以這樣的概念建築,被提名的程序可以象超級用戶一樣運行,但只有明確指定的程序才行。而普通用戶為了安裝新程序,可以臨時成為超級用戶。這是很不容易改的習慣,主要通過使用sudo命令,Linux用戶知道只能提高他們要求的特權,而且每次持續一個命令的時間。

  Microsoft已經試圖在Windows Vista內部通過用戶存取控制(UAC),糾正這種非常糟糕的缺陷。然而,我懷疑有人需要期待發現對UAC如何工作的抱怨。這也許不是Microsoft的過錯,而寧可說是許多軟件對於管理存取仍然寄予太多不合理要求,以致於UAC的提示看來是過分的。無論如何,存在禁止UAC的選項,這個選項將使系統正如早先的Windows版本一樣易受攻擊。

  因此,結果是數百萬Windows用戶被看作計算機的超級用戶運行Outlook和IE。他們運行的任何程序 —— 無論好歹 —— 都有完整的權限,無拘無束訪問系統。相反,簡直找不到Linux用戶鍵入“sudo firefox”。

  這一切說明,不因操作系統的不同而改變的一件事是需要一面防火牆。這個軟件限制進出Internet的通信。你可能運營一個內部使用卻不想向外界暴露的網站。在這種情況下,封鎖防火牆的端口80將防止任何不在你的網絡裡面的人浏覽你的網點。

  事實上,應該默認地阻擋所有Internet通信,然後啟動想要使用的端口。這意味著你准確了解什麼是允許的,而且結果將保護系統中正在運行的你不知道的服務,例如,象FTP、Web和郵件服務器。防火牆也適合保護你不受拒絕服務攻擊。

  現代世界另一個至關緊要的軟件是反垃圾郵件系統。無論在什麼地方,或者無論運行什麼軟件,你都是Viagra售貨員和死去的皇室親屬的目標,後者有權使用數不清多少百萬的金錢,只要你給他們寄一些現金。許多非索要信息毫無意義;我收過一個陰莖增大廣告,但是讀不明白任何關於把監獄做大的事情。也許我誤解了。

  所以,讓我們總結一下。家用計算機安全有三條 —— 反病毒、防火牆和反垃圾郵件。Linux是比Windows安全的系統;這不是花言巧語,而是由於不同的設計和反復向終端用戶灌輸的“正確”工作方式。然而,如果希望連接到任何其他計算機,應該竭盡全力考慮每個人的安全。

  對於Linux來說,一個良好的免費開源反病毒系統是ClamAV。稱為iptables的卓越防火牆已經內置。它可以按你可能喜歡的情形微妙配置,檢查L7Filter。至於反垃圾郵件,試試Anti-Spam SMTP Proxy (ASSP)。

  提高警惕,確保安全。讓我們聽聽你的想法。你認為有沒有其他種強制性條款保證家用計算機安全?有沒有更好的軟件推薦?或者你認為這一切都是浪費時間,而且反病毒簡直是毫無必要地加重處理器的負擔?

copyright © 萬盛學電腦網 all rights reserved