有分析指出,日前,各大Linux发行版厂商正在不断努力,加大对Linux发行版的安全性研发的投入。在即将到来的年末,三大Linux厂商将发布最新的 Linux发行版,Ubuntu 8.10、OpenSUSE 11.1和红帽赞助的Fedora 10,各个版本在安全方面都得到了显著提升。
Linux和开源软件以其独特的开发模式生存和发展,既有利又有弊,好处是系统管理员能够更早的发现系统的问题所在,害处是先发现系统安全隐患的可能是那些不怀好意的骇客。但是不得不说的趋势是,有越来越多的Linux和开源软件已经在逐渐渗透到企业架构中去。
这些安全性功能在Linux发行版中得到加强不是个别和片面的,不仅仅是快速变化的、是社区为基础的Linux发行版的为了安全性而凑合了事。这一些都是市场的需求所决定的,因为企业级的Linux市场需要这些安全性功能。
在我试用的三个Linux试用版中,安全性功能的增加,各有特别之处。
比如在最新版本的ubuntu 8.10中就推出了加密私有目录功能,无论从功能和速度方面都较以前版本有了很大的改进,对于桌面Linux用户的私密性来说,有了进一步的提高,相关工具使用起来更加方便。
新版本的OpenSUSE 11.1将在12月初发布。最新版本的OpenSUSE 11.1同样在安全性方面得到了全面改进,比如完全支持SELinux的强制处理控制系统(mandatory access control system)。 Novell这次全面拥抱SELinux不得不说是一次进步,吸引了Linux社区安全技术人员的不少眼球。因为在过去的几年中,Linux安全中的 SELinux技术一直都是Red Hat在引导和推广,Novell坚持他自有的Linux安全控制系统--AppArmor,而这一安全功能要归功于2005年Novell对 Immuix的收购。
Novell一直诟病SELinux的复杂性问题,因为要实现SELinux的安全功能,就要构建一组复杂的安全策略,这些策略落实到各个用户、各个应用程序。正因为如此复杂,非常不利于安全策略的构建、审查和问题解决。
这次OpenSUSE也仅仅是提供最简单的SELinux功能,它们的推荐还是AppArmor。但是根据Novell的说法,他们还提供SELinux的迁移服务,能够将已经部署好的SELinux安全策略迁移到Novell的SUSE Linux操作系统上来。
最新版本的Fedora Linux 10将于11月末推出。新版本安全功能亮点是,附带全新的安全审计和入侵检测工具。
这 个被Red Hat称为Sectool的安全审计工具,提供了一组用于系统配置测试的工具,包括用户权限、防火墙规则和其他系统安全的配置选项。另外,Sectool 还为管理员提供了一个额外的模块,让管理员输入自有的测试内容,这些内容可以是bash、Python,或者是其他的脚本语言写的代码。
在Fedora 1o中,安全测试等级将被分为5类,分别是傻瓜级、桌面用户、网络电脑、服务器和安全偏执狂。