Linux厂商正加大力度提高发行版安全性[08年月10月刊]

八重樱

有分析指出，日前，各大Linux发行版厂商正在不断努力，加大对Linux发行版安全性研发的投入。在即将到来的年末，三大Linux厂商将发布最新的 Linux发行版，Ubuntu 8.11、OpenSUSE 11.11和红帽赞助的Fedora 10，各个版本在安全方面都得到了显著提升。

Linux和开源软件以其独特的开发模式生存和发展，既有利又有弊。好处是系统管理员能够更早的发现系统的问题所在，害处是先发现系统安全隐患的可能是那些不怀好意的骇客。但是不得不说的趋势是，有越来越多的Linux和开源软件已经逐渐渗透到企业架构中去。这些安全性功能在Linux发行版中得到加强不是个别和片面的，不仅仅是快速变化的、是社区为基础的Linux发行版的为了安全性而凑合了事。这一切都是市场的需求所决定的，因为企业级的Linux市场需要这些安全性功能。

在我试用的三个Linux试用版中，安全性功能的增加，各有特别之处。

比如在最新版本的ubuntu 8.10中就推出了加密私有目录功能，无论从功能和速度方面都较以前版本有了很大的改进，对于桌面Linux用户的私密性来说，有了进一步的提高，相关工具使用起来更加方便。

新版本的OpenSUSE 11.1将在12月初发布。最新版本的OpenSUSE 11.1同样在安全性方面得到了全面改进，比如完全支持SELinux的强制处理控制系统（mandatory access control system）。 Novell这次全面拥抱SELinux不得不说是一次进步，吸引了Linux社区安全技术人员的不少眼球。因为在过去的几年中，Linux安全中的 SELinux技术一直都是Red Hat在领导和推广，Novell坚持他自有的Linux安全控制系统--AppArmor，而这一安全功能要归功于2005年Novell对 Immuix的收购。Novell一直诟病SELinux的复杂性问题，因为要实现SELinux的安全功能，就要构建一组复杂的安全策略，这些策略落实到各个用户、各个应用程序。正因为如此复杂，非常不利于安全策略的构建、审查和问题解决。这次OpenSUSE也仅仅是提供最简单的SELinux功能，它们的推荐还是AppArmor。但是根据Novell的说法，他们还提供SELinux的迁移服务，能够将已经部署好的SELinux安全策略迁移到Novell的SUSE Linux操作系统上来。

最新版本的Fedora Linux 10将于11月末推出。新版本安全功能亮点是，附带全新的安全审计和入侵检测工具。这 个被Red Hat称为Sectool的安全审计工具，提供了一组用于系统配置测试的工具，包括用户权限、防火墙规则和其他系统安全的配置选项。另外，Sectool 还为管理员提供了一个额外的模块，让管理员输入自有的测试内容，这些内容可以是bash、python，或者是其他的脚本语言写的代码。在Fedora 10中，安全测试等级将被分为5类，分别是傻瓜级、桌面用户、网络电脑、服务器和安全偏执狂。