Linux操作系统是在开源模式下研发而成,它为企业提供了技术发展的机会。笔者对三家Linux领先厂商的产品即Canonical公司的Ubuntu Linux 8.10, Novell公司的OpenSUSE 11.1和红帽公司的Fedora 10的主要安全特性的发展进行了分析,这些产品目前都以测试版本推出。
预计在10月底推出的Ubuntu Linux 8.10新增了私人加密目录的特性,这个特性能让用户实现在这个目录中安全的存储敏感数据,而且目录的全容积加密不会影响产品的性能。
在我对早期Ubuntu版本的大范围加密测试中,我强调了处理器在创建虚拟机映像这种磁盘处理的作用。另外,整个磁盘加密,单向解锁都会给多用户系统带来问题,磁盘解锁要么全有要么全无,这与一个用户接一个用户的做法是不同的。
在Ubuntu 8.10版本中,加密私人目录功能可以在"用户"主目录中创建一个标签为"私有"的文件夹。系统会对这个目录中存放的文件自动加密,只有当用户登录时加密目录才能解锁。
在我的测试中,我将主目录文件夹的范围从复制文件夹的系统扩展到私人区域,允许应用软件继续访问在原来地址上的被保护文件。
从这个特性上来说,要完全取代全容积加密执行上还有难度–因为这个点上没有用户界面,存在敏感数据从系统未加密的交换分区中泄露的可能性。我希望看到Ubuntu的加密特性设置可以上升到整个范围,在下一代LTS推出时,加密特性能扩展到私人文件夹和主目录加密,LTS目前计划的推出时间大概为2010年4月。
Novell公司的OpenSUSE 11.1版本是公司SUSE Linux企业版的社区版本,预计将在12月初推出,能为SELinux强制访问控制系统提供基本支持。
NOVELL的SELinux的这一版本重点主要放在Linux社区,因为在过去几年中SELinux最初是受到红帽开源计划的推动。对于这个部分,
NOVELL公司正在推行一项被称为AppArmor的可选访问控制方案,这个计划是NOVELL于2005年收购Immunix后的一大成果。
SELinux透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。但这些安全策略很难进行创建和故障修复。
不过通过红帽公司的努力,SELinux能够实现都某些应用软件加强控制的目标安全协议,同时还能将传统的Linux访问控制置于监管之下。
OpenSUSE 11.1即将推出的版本只能为SELinux提供基本支持,AppArmor是向用户推荐使用的产品安全加强方案,不过根据NOVELL的说法,基本SELinux的附加功能将允许选择AppArmor方案的用户将他们的系统迁移到NOVELL的Linux操作系统上去。
红帽公司的Fedora Linux产品的Version 10预计将于11月底推出,这款版本有望增加最新的安全审核和入侵防御工具。
Fedora能在安装时支持全容积加密(Ubuntu产品也具备这个功能,但OpenSUSE没有这个特性),也能支持Fedora的SELinux子系统。红帽公司提供的安全防护特性是目前所有Linux产品中最为丰富的。
红帽公司称之为Sectool的最新审核功能可以为用户提供一套系统测试,主要用于与许可证,防火墙规则和其他系统安全特性的状态有关的配置检测。除此之外,Sectool还能为系统管理员提供了可供编程的系统框架,通过这个框架管理员可以用Bash, Python或者其他脚本语言编写自己的测试程序。
在Fedora 10中,Sectool可以进行分为5个安全级别的测试,分别被称为Naive, Desktop, Network, Server或Paranoid。
我还在Fedora 10测试安装的几个安全级别上运行了Sectool的制图版本,工具响应存在错误。这款工具在错误信息上提供了充分的信息提示来为我指出正确方向来解决问题,不过这个功能如果与系统的配置工具相结合能运行的更好。