由于安全問題越來越嚴重,linux 發行版需要在安裝程式中突出顯示基本安全選項,而不是讓使用者稍後手動添加這些選項。
十二年前,linux 發行版努力使安裝變得簡單。在 ubuntu 和 fedora 的引領下,它們很早就實作了這一目标。現在,随着對安全性越來越關注,它們需要稍微轉變下方向,并在安裝程式中突出顯示基本安全選項,而不是讓使用者稍後手動添加這些選項。
當然,即便是在最好的情況下,說服使用者來設定安全功能都是困難的。太多使用者甚至不願意添加如非特權使用者帳戶或密碼這樣簡單的功能,他們顯然更喜歡用重裝或者以每小時 80 美元的價格咨詢專家來減少風險。
然而,即便一般使用者不會專門注意安全,但他也可能會在安裝過程中注意。他們可能永遠不會再想到它,但也許在安裝過程中,當他們的注意力集中時,特别是如果有可見的線上幫助來解釋其好處時,他們可能被說服選擇一個複選框。
這種轉變也并不偉大。許多安裝程式已經提供了自動登入的選擇 - 這對于不包含個人資料的安裝來說或許是可以接受的功能,但更可能會被那些覺得登入不友善的使用者使用。同樣感謝 ubuntu,它選擇加密檔案系統 - 至少在主目錄中是這樣 - 它已經成為許多安裝程式的标準。我真正建議的也是這樣的。
此外,外部安裝程式如 firefox 已經無縫合并了隐私浏覽,而 signal private messenger 則是一個可替代标準 的 android 手機和聯系人的應用程式。
這些建議遠不算激進。它隻需要意志和想象力來實作它。
linux 安全第一步
應該将什麼類型的安全功能添加到安裝程式呢?
首先是防火牆。有許多圖形界面程式可以設定防火牆。盡管十七年的經驗,但是就像拜倫對柯爾律治的形而上的思想的讨論一樣,我有時還是希望有人能來解釋一下。
盡管出于好意,大多數防火牆工具對 iptables 的處理看起來都很直接。有一個現在已經停止維護的加強系統 bastille linux 可以用于安裝一個基本的防火牆,我看不出為什麼其他發行版做不到同樣的事情。
一些工具可以用于安裝後處理,并且對于安裝器而言可以毫無困難地添加使用。例如,對于 grub 2,這個大多數發行版使用的引導管理器包含了基本密碼保護。誠然,密碼可以通過 live cd 繞過,但它仍然在包括遠端登入在内的日常情況下提供一定程度的保護。
類似地,一個類似于 pwgen 的密碼生成器也可以添加到安裝程式設定帳戶的環節。這些工具強制可接受密碼的長度、以及它們的大小寫字母、數字和特殊字元的組合。它們許多都可以為你生成密碼,有些甚至可以使生成的密碼可拼讀,以便你記住密碼。
還有些工具也可以添加到安裝過程的這個部分。例如,安裝程式可以請求定期備份的計劃,并添加一個計劃任務和一個類似 kbackup 的簡單的備份工具。
那麼加密電子郵件怎麼辦?如今最流行的郵件閱讀器包括了加密郵件的能力,但是設定和使用加密需要使用者采取額外的設定,這使常見的任務複雜化,以至于使用者會忽略它。然而,看看 signal 在手機上的加密有多麼簡單,很顯然,在筆記本電腦和工作站上加密會更容易。大多數發行版可能都喜歡對等加密,而不喜歡 signal 那樣的集中式伺服器,但像 ring 這樣的程式可以提供這種功能。
無論在安裝程式中添加了什麼功能,也許這些預防措施也可以擴充到生産力軟體,如 libreoffice。大多數安全工作都集中在電子郵件、網絡浏覽和聊天中,但文字處理程式和電子表格及其宏語言,是一個明顯的惡意軟體感染的來源和隐私關注點。除了像 qubes os 或 subgraph 這樣的幾個例外之外,很少有人努力将生産力軟體納入其安全預防措施 - 這可能會留下一個安全漏洞空缺。
适應現代
當然,在意安全的使用者也許會采取一些安全的方法,這樣的使用者可以為自己負責。
我關心的是那些不太了解安全或不太願意自己做修補的使用者。我們越來越需要易于使用的安全性,并且亟待解決。
這些例子隻是開始。所需要的工具大多數已經存在,隻是需要以這樣的方式來實作它們,使得使用者不能忽略它們,并且能夠不用懂什麼就可以使用它們。可能實作所有這些隻需要一個人月而已,包括原型、ui 設計和測試等等。
然而,在添加這些功能前,大多數主流的 linux 發行版幾乎不能說是關注到了安全性。畢竟,如果使用者從不使用它們,那怎麼會是好工具?
本文作者:佚名
來源:51cto