從愛德華·斯諾登披露信息到物聯網的潛在問題和最新惡意軟件，安全和隱私是不間斷的新聞話題。問題在于，雖然每個人都關注安全和隱私，可是很少有人知道對安全和隱私該怎么做是好。幸好，Linux有無數的工具可以處理這些問題，又不需要每個人都成為專家。

受Windows的影響，大多數Linux用戶在思考問題時著眼于應對措施，比如反病毒軟件和防火墻。然而，最有效的工具通常是架構方面的，對操作系統進行更改，從根本上預防或遏制入侵。

比如說，一款有效的工具是umask(https://www.cyberciti.biz/tips/understanding-linux-unix-umask-value-usage.html)，它為創建新的文件和目錄設定了默認的許可權限。許多發行版對umask進行了設置，那樣誰都可以查看文件，但只有文件的所有者才能編輯文件。然而，如果更改默認值，只有所有者才能查看或編輯文件，就可以大大提高系統的安全。

遺憾的是，這樣的工具外面有許許多多，所以要全部學習掌握是項艱巨的任務。即便使用SE Linux(https://selinuxproject.org/page/Main_Page)也不見得更好，因為它通常需要一段調整適應期，用戶在安全和自己的便利之間找到合理的平衡。這款工具具有這個優點：它運用了一組加固規則，用戶基本上不需要干預。不止一個用戶關閉了SE Linux，而不是使用它，這就表明了它有多難。

沒有經驗的用戶可能最好使用概覽或幫助用戶了解種種可能的向導程序。不管怎樣，這個過程就叫加固(hardening)。

Linux加固的捷徑

十年前，最出色的通用加固工具無疑是Bastille Linux(https://sourceforge.net/projects/bastille-linux/)，尤其是在Debian和Linux上。遺憾的是，這個項目顯然不再得到開發或維護了。

Ubuntu仍有運行Bastille的加固向導程序的指令，賽門鐵克發布了針對向導程序內容的描述(https://www.symantec.com/connect/articles/bastille-linux-walkthrough)。

有興趣了解知識和結果的那些人可以逐個查閱這些資源，需要的話可以研究一番，最后就能大大提高系統的安全性。用這些過時的資源加固系統方面可能存在不足，但是可能不會――自Bastille的上一次改動以來，Linux操作系統的基本面可能并沒有發生太大的變化。

然而，我覺得大多數用戶更對結果有興趣。我建議他們使用CISOfy的Lynis(https://github.com/CISOfy/Lynis)，它公開自稱是Bastille的更新版。實際上，Lynis的用途比Bastille更廣泛，不是針對特定的發行版。

Lynis提供了幾種安裝方式，包括直接從Github安裝，基本的命令是lynis install audit，它運行數百項測試。結果輸出到日志文件，未滿足Lynis標準的每一項都附有建議采取的動作。

此外，Lynis提供了安全漏洞滲透測試，運行的選項通常是計劃任務(cronjob)。額外的測試也可以作為插件添加上去。

除了運行Lynis外，你還應該查看發行版的說明文檔，以便防止忽視任何獨特的功能特性。尤其是Arch Linux(https://wiki.archlinux.org/index.php/Security)和Debian都有詳細的加固參考資料，對其他發行版來說可能也很有用――尤其是Debian，它是許多現代發行版的根源，包括Ubuntu和Linux Mint。要說有什么區別的話，Debian的困難在于找到最密切相關的維基頁面，這要看你感興趣的是一般加固、內核加固還是軟件包加固。

為了以防萬一，在做出任何加固變更之前，先對系統備份。由于沒有留意所做的變更，不止一個熱心過頭的新用戶結果無法使用自己的系統。另外至少要花幾個小時來了解和評估所有可能的變更――首先，別急吼吼。以后你總是可以返回到可能的變更。

桌面工具和發行版

一旦你加固了系統，應該想一想使用哪些工具。這包括使用Tor的匿名瀏覽、電子郵件加密(大多數郵件閱讀工具中的一個選項)以及使用Cryptocat的安全聊天。你可能還應該開始制定一項政策：使用密碼保存你的所有個人辦公文檔。

這些建議假設，你愿意為了獲得所需的結果而搗鼓一番。如果你不想如此深入地探究安裝的Linux，可以改而選擇一種關注安全的發行版。

如果你的系統至少有8GB內存，那么Qubes OS(https://www.qubes-os.org)可能是合適的發行版。Qubes OS不僅讓你可以在擁有不同的色標安全級別的情況下運行，還可以將工具直接放入到桌面環境的菜單中。

不然，傾向于無政府語義的MOFO Linux(http://mofolinux.com)更可能是你需要的，或者是仍在開發之中的Subgraph OS(https://subgraph.com)。

如果你連發行版都不想選擇，那該怎么辦?那么至少應該安裝Firejail(https://firejail.wordpress.com)。Firejail在沙盒里面運行程序，將程序隔離開來，盡量減少可能出現的危害。它安裝時隨帶針對常見桌面應用程序的幾十種配置文件，還有面向其他一切的通用配置文件。你只要在命令前面加上firejail，調整菜單項和桌面啟動器就行了。

安全和隱私是個沒完沒了的研究話題，也是許多用戶不想深入探究的。然而，本文給出的建議讓你只要花少量精力，就可以降低風險。

原文標題：Linux Security Made Simple

作者：Bruce Byfield