Linux基金會公布工作站的安全實作準則

Linux基金會（Linux Foundation）透過GitHub釋出了基金會內所使用的Linux工作站安全實作準則供企業參考，包括列出硬體、開機前執行環境、Linux版本別、安裝準則、安裝後的安全強化、個人工作站備份、瀏覽器、密碼管理、安全私鑰、SELinux等類別的安全查核清單，並說明了相關的安全考量。

不過，Linux基金會也強調，此一實作準則只是提供基本的建議，在不影響便利的情況下避免遭遇常見的安全錯誤，並非詳盡且全面的安全文件，也許有人覺得它過於膚淺，但也會有人覺得它太偏執。

各類查核清單中的每個項目都有各自的重要等級，從重大（Critical）、一般（Moderate）、低（Low）到偏執（Paranoid）不等。「重大」代表若未實施可能會惹來高風險。「一般」意味著可改善安全，但不那麼重要。較低等級的項目雖然也能增進安全，但也許不值得犧牲工作站的便利性。「偏執」則是最能保障安全的選項，只是可能得大幅犧牲與系統的互動能力。

在安全查核表中被歸類為重大的安全項目中，例如，在選擇工作站硬體時Linux並未推薦品牌或型號，但希望該硬體應具備SecureBoot功能，以協助抵抗Rootkits或Evil Maid等攻擊。開機前執行環境的重大安全建議包括UEFI開機模式、進入UEFI配置必須輸入密碼，以及啟用SecureBoot。

在各種Linux版本的選擇上，Linux基金會建議業者所使用的版本該具備強大的MAC/RBAC功能，也應有安全公告，適時提供安全修補程式，提供加密驗證功能，完整支援UEFI與SecureBoot，以及支援全硬碟加密。安裝準則則有使用全硬碟加密與強大密碼、確認切換空間（swap）也是加密的、必須輸入密碼才能編輯bootloader、設定強大的最高權限密碼、使用無權限帳號，設定另一個供一般帳號使用的強大密碼。

在安裝後的安全強化被列為重大等級的作法則包括關閉firewire與thunderbolt模組、檢查防火牆以確認所有進入的連結埠都已經過濾，以及確認root郵件會轉寄到管理人員可收到的信箱。

對個人工作站的備份建議則是將加密的工作站備份到額外的儲存空間，另也建議管理人員使用兩種不同的瀏覽器，一種可用於各種任務，另一種則來存取與工作相關的、需要高度安全性的網站，並推薦以Chrome來瀏覽一般內容，以Firefox加上各種外掛程式來存取與工作相關的網站。

在密碼管理上則建議使用密碼管理員，在不同的網站使用不同的密碼，也應以強大的密碼來保護私鑰。（編譯/陳曉莉）