神话破灭：Linux安全性

作为Lynis的作者，我必须运行多个Linux系统来测试Linux安全防御。而且，如果您做的时间足够长，那么某些人就会将您视为Linux安全专家。发生这种情况时，您会被问到问题。令人惊讶的是，它们通常与某些神话有关。有时间分享一些我被问到的问题。如果您直接从我这里收到此链接，那么很可能您问了一个:)

• Linux系统不容易感染病毒
• Linux上不需要防火墙
• 开源软件比专有软件更安全
• 官方存储库中的软件包是安全的

神话

误解：Linux系统不容易感染病毒

这个第一个神话可能实际上是对的。病毒对于Linux非常罕见。Windows和macOS也是如此，因为这种恶意软件（恶意软件）并不常见。过去，MS-DOS和Windows系统受病毒的影响很大。从可让角色掉落在屏幕上的纯真版本到迅速擦除整个硬盘的病毒。

如果我们寻找其他类型的恶意软件，则蠕虫和  勒索软件是最活跃的。蠕虫是一种恶意软件，其目标是尽快传播自身。勒索软件通常利用类似于蠕虫的功能进行传播，但目标很简单，那就是找到有价值的数据。然后将其加密，然后要求您支付赎金。两种类型都对大多数操作系统（包括Linux）构成威胁。

就像许多事情一样，数字也有力量和弱点。随着特定平台上的更多用户的使用，针对该平台的机会将会增加。Linux驱动的系统数量仅在增加。从物联网类别中的小型设备 到为世界上最活跃的网站提供支持的服务器。Linux无处不在，因此成为目标。也许我们应该说，已经是。看一下Android（基于Linux的移动操作系统）。大多数弱点仅仅是Linux安全漏洞或软件漏洞。

误解：Linux上不需要防火墙

多年来，大多数Linux发行版肯定提高了基准安全级别。默认情况下，在安装并激活许多不需要的服务之前。这意味着侦听网络端口的服务数量也有所减少。这仍然不能保证没有防火墙。

实际上，有几种类型的防火墙。当我们谈到防火墙时，通常是进行网络流量过滤的防火墙（例如nftable的 iptables ）。另一种类型是像OpenSnitch这样的应用程序级防火墙。这样的工具会询问每个应用程序允许哪些连接。

即使您的系统运行不畅，也可以过滤系统上的传入和传出流量。这对于抵御蠕虫和其他基于网络的攻击特别有用。毕竟，您的系统可能是良好的网络公民，但您的网络邻居可能不太友好。添加防火墙的另一个好处是可以了解系统上需要运行哪些服务。有了这些知识，就很容易定义是否需要打开所有传入的UDP或TCP端口。

误解：开源软件比专有软件更安全

开源软件（OSS）的好处之一就是代码的可用性。通常，这种类型的软件还带有一定程度的“免费”：如啤酒一样免费，或如语音一样免费。现在，普遍的共识是，当软件代码可用时，更多的人可以研究代码并查找错误和安全漏洞。尽管这是事实，但这并不能使软件更安全。为此，开发人员需要精通技术并精通安全性。另外，其他技术人员实际上必须查看代码，才能发现任何编程缺陷。

软件开发非常困难，因为开发人员需要具有大量的创造力和逻辑。您将需要后者来使软件按您的预期工作。创造力组件对于发现极端情况非常重要，例如意外行为。它还有助于寻找更有效的方法来解决问题。像很多事情一样，通常有更多的途径可以实现相同的目标。有时，快捷方式可能是提高效率的好方法，有时它会导致软件的严重安全漏洞。

误解：官方存储库中的软件包是安全的

如果仅通过默认软件存储库安装软件包，您可能会认为自己是安全的。与神话相伴的是，开源软件比专有软件更安全。尽管某些软件包可能由Linux发行版本身正式维护，但是仍然存在风险。这样的软件存储库通常包含数千个软件包。一个或多个包含安全漏洞的机会很高。需要对软件包进行正式维护。通常，这意味着Linux发行版将修补已知的漏洞。

如果您有机会安装软件包，则始终首选官方存储库。这可能是您的Linux发行版本发行的版本。另一种选择是原始软件开发商或公司。如果他们有一个正式的存储库，那么通常这也是一个很好且值得信赖的资源。添加与项目无关的个人维护的存储库时要小心。尽管通常会很好地计划他们的工作，但他们可能没有时间使事情保持最新。最坏的情况是，您甚至可能最终获得了已更改的软件。这种改变可能与增加后门一样糟糕。

Linux安全提示

现在，我们讨论了其中的一些神话，让我们看一些改善Linux系统安全防护的选项。

• 只安装您真正需要的东西
• 软件补丁管理
• 实施防火墙
• 执行定期的安全扫描

只安装您真正需要的东西

大多数人都是ho积者，尤其是在数字商品方面。我们收集越来越多的文件和应用程序。如果要提高安全性，现在该减少已安装的应用程序的数量。那么，您是否正在测试并完成？去掉它。刚安装了一些应用程序，但在最近几个月没有接触它们吗？也考虑删除它们。

软件补丁管理

我们可以简短地说一下：补丁，补丁和补丁。安装的每个软件包都可能包含软件错误。保持它们为最新，并在可能的情况下自动执行。有关其他链接和工具，请参见其他资源。

实施防火墙

过滤掉尽可能多的网络流量。如果您的系统需要获取动态IP地址，则允许发送DHCP请求并接收响应。允许所需的传出网络协议，例如DNS用于名称解析，而NTP用于时间同步。通常，您还希望允许传出HTTP和HTTPS连接，以便能够浏览Web。大多数传入连接都可以安全地拒绝。通常，您将直接看到真正需要什么流量。其余的流量可以留在外面。

执行定期的安全扫描

如果我们只需要给一个小费，那么这就是它。使用Lynis这样的安全扫描工具，您可以评估可能的改进。这样的Linux安全扫描器就像一把雨伞。它包含Linux系统上可用的许多不同的安全性方面和防御措施。从前面提到的选项到可用的更多高级选项。

额外资源

Linux发行版中的安全建议

随着时间的推移，所有Linux发行版都必须学习如何处理与安全相关的问题。他们中的大多数人创建了安全指南，这可能是学习更多有关安全性的好方法。其中更详细地讨论了其中提到的一些Linux安全神话。有时，即使采取了其他措施来提高安全性，也可能采取其他措施。因此，请花费一些时间并阅读发行版中与安全性相关的文档。