Linux公布工作站安全操作規范

■鄭恬

Linux公布工作站安全操作規范

■鄭恬

近日Linux基金會（Linux Foundation）通過GitHub發布了基金會內所使用的Linux工作站安全操作規范供企業參考。該該規范包括列出硬件、開機前執行環境、Linux版本別、安裝規范、安裝后的安全強化、個人工作站備份、瀏覽器、密碼管理、安全密鑰、SELinux等類別的安全核查清單，并說明了相關的安全檢查。

各類核查清單中的每個項目都有各自的重要等級，從重大（Critical）、一般（Moderate）、低（Low）到偏執（Paranoid）不等。“重大”代表若未實施可能會惹來高風險。“一般”意味著可改善安全，但不那么重要。較低等級的項目雖然也能增進安全，但也許不值得犧牲工作站的便利性。“偏執”則是最能保障安全的選項，只是可能得大幅犧牲與系統的互動能力。

在安全核查表中被歸類為重大的安全項目中，例如，在選擇工作站硬件時Linux并未推薦品牌或型號，但希望該硬件應具備SecureBoot功能，以協助抵抗Rootkits或Evil Maid等攻擊。開機前執行環境的重大安全建議包括UEFI開機模式、進入UEFI配置必須輸入密碼，以及啟用SecureBoot。

在各種Linux版本的選擇上，Linux基金會建議企業所使用的版本該具備強大的MAC/RBAC功能，也應有安全公告，適時提供安全修補程序，提供加密驗證功能，完整支持UEFI 與SecureBoot，以及支持全硬盤加密。安裝規范則有使用全硬盤加密與強大密碼、確認切換空間（swap）也是加密的、必須輸入密碼才能編輯bootloader、設定強大的最高權限密碼、使用無權限帳號，設定另一個供一般帳號使用的強大密碼。

在安裝后的安全強化被列為重大等級，包括關閉firewire 與thunderbolt模組、檢查防火墻以確認所有進入的連結埠都已經過濾，以及確認root郵件會轉寄到管理人員可收到的郵箱等。

對個人工作站的備份建議則是將加密的工作站備份到額外的儲存空間，另也建議管理人員使用兩種不同的瀏覽器，一種可用于各種任務，另一種則來存取與工作相關的、需要高度安全性的網站，并推薦用Chrome瀏覽器來瀏覽一般內容，用Firefox加上各種外掛程序來存取與工作相關的網站。

在密碼管理上規則建議使用密碼管理員，在不同的網站使用不同的密碼，應以強大的密碼來保護密鑰。

Linux基金會也強調這個操作規范只是提供基本的建議，在不影響便利的情況下避免遭遇常見的安全錯誤，并非詳盡且全面的安全文件。