由于安全問題越來越嚴重,Linux 發行版需要在安裝程序中突出顯示基本安全選項,而不是讓用戶稍后手動添加這些選項。
十二年前,Linux 發行版努力使安裝變得簡單。在 Ubuntu 和 Fedora 的引領下,它們很早就實現了這一目標。現在,隨著對安全性越來越關注,它們需要稍微轉變下方向,并在安裝程序中突出顯示基本安全選項,而不是讓用戶稍后手動添加這些選項。
當然,即便是在最好的情況下,說服用戶來設置安全功能都是困難的。太多用戶甚至不愿意添加如非特權用戶帳戶或密碼這樣簡單的功能,他們顯然更喜歡用重裝或者以每小時 80 美元的價格咨詢專家來減少風險。
然而,即便一般用戶不會專門注意安全,但他也可能會在安裝過程中注意。他們可能永遠不會再想到它,但也許在安裝過程中,當他們的注意力集中時,特別是如果有可見的在線幫助來解釋其好處時,他們可能被說服選擇一個復選框。
這種轉變也并不偉大。許多安裝程序已經提供了自動登錄的選擇 - 這對于不包含個人數據的安裝來說或許是可以接受的功能,但更可能會被那些覺得登錄不方便的用戶使用。同樣感謝 Ubuntu,它選擇加密文件系統 - 至少在主目錄中是這樣 - 它已經成為許多安裝程序的標準。我真正建議的也是這樣的。
此外,外部安裝程序如 Firefox 已經無縫合并了隱私瀏覽,而 Signal Private Messenger 則是一個可替代標準 的 Android 手機和聯系人的應用程序。
這些建議遠不算激進。它只需要意志和想象力來實現它。
Linux 安全第一步
應該將什么類型的安全功能添加到安裝程序呢?
首先是防火墻。有許多圖形界面程序可以設置防火墻。盡管十七年的經驗,但是就像拜倫對柯爾律治的形而上的思想的討論一樣,我有時還是希望有人能來解釋一下。
盡管出于好意,大多數防火墻工具對 iptables 的處理看起來都很直接。有一個現在已經停止維護的加固系統 Bastille Linux 可以用于安裝一個基本的防火墻,我看不出為什么其他發行版做不到同樣的事情。
一些工具可以用于安裝后處理,并且對于安裝器而言可以毫無困難地添加使用。例如,對于 Grub 2,這個大多數發行版使用的引導管理器包含了基本密碼保護。誠然,密碼可以通過 Live CD 繞過,但它仍然在包括遠程登錄在內的日常情況下提供一定程度的保護。
類似地,一個類似于 pwgen 的密碼生成器也可以添加到安裝程序設置帳戶的環節。這些工具強制可接受密碼的長度、以及它們的大小寫字母、數字和特殊字符的組合。它們許多都可以為你生成密碼,有些甚至可以使生成的密碼可拼讀,以便你記住密碼。
還有些工具也可以添加到安裝過程的這個部分。例如,安裝程序可以請求定期備份的計劃,并添加一個計劃任務和一個類似 kbackup 的簡單的備份工具。
那么加密電子郵件怎么辦?如今最流行的郵件閱讀器包括了加密郵件的能力,但是設置和使用加密需要用戶采取額外的設置,這使常見的任務復雜化,以至于用戶會忽略它。然而,看看 Signal 在手機上的加密有多么簡單,很顯然,在筆記本電腦和工作站上加密會更容易。大多數發行版可能都喜歡對等加密,而不喜歡 Signal 那樣的集中式服務器,但像 Ring 這樣的程序可以提供這種功能。
無論在安裝程序中添加了什么功能,也許這些預防措施也可以擴展到生產力軟件,如 LibreOffice。大多數安全工作都集中在電子郵件、網絡瀏覽和聊天中,但文字處理程序和電子表格及其宏語言,是一個明顯的惡意軟件感染的來源和隱私關注點。除了像 Qubes OS 或 Subgraph 這樣的幾個例外之外,很少有人努力將生產力軟件納入其安全預防措施 - 這可能會留下一個安全漏洞空缺。
適應現代
當然,在意安全的用戶也許會采取一些安全的方法,這樣的用戶可以為自己負責。
我關心的是那些不太了解安全或不太愿意自己做修補的用戶。我們越來越需要易于使用的安全性,并且亟待解決。
這些例子只是開始。所需要的工具大多數已經存在,只是需要以這樣的方式來實現它們,使得用戶不能忽略它們,并且能夠不用懂什么就可以使用它們。可能實現所有這些只需要一個人月而已,包括原型、UI 設計和測試等等。
然而,在添加這些功能前,大多數主流的 Linux 發行版幾乎不能說是關注到了安全性。畢竟,如果用戶從不使用它們,那怎么會是好工具?
京公網安備 11010502049343號