由于不可避免的书呆子气,本文中的Linux指的是标准Linux或GNU/Linux发行版。
人们普遍认为Linux是一个非常安全的操作系统。由于各种不同的原因,这与事实相去甚远。标准桌面中没有强大的沙盒。这意味着所有应用程序都可以访问彼此的数据,并可以窥探您的个人信息。大多数程序都是用内存不安全的语言(如C或C++)编写的,这是大多数已发现的安全漏洞的原因,而诸如控制流完整性等现代利用漏洞缓解措施并未得到广泛使用。内核也非常缺乏安全性。它是一个完整的内核,完全用内存不安全的语言编写,每个月都会发现数百个错误,其中许多是安全漏洞。事实上,在内核中发现了如此多的错误,开发人员无法跟上,这导致许多错误在很长一段时间内没有得到修复。内核在利用缓解方面也落后了几十年,许多内核开发人员根本不关心。在普通桌面上,具有sudo访问权限的受损非root用户帐户几乎等同于完全root危害,因为攻击者有太多方法可以检索sudo密码。通常,标准用户是组sudo的一部分,这使得这是一个巨大的问题,并且使得sudo密码几乎是安全剧场。例如,攻击者可以利用过多的按键记录机会,如X缺少GUI隔离、/proc中的大量信息泄露、使用LD_PRELOAD挂接到每个进程等等。即使我们减轻了记录击键的每一种方式,攻击者也可以设置自己的假sudo程序来窃取用户密码。这就是获取sudo密码所需的全部内容:cat<;<;\EOF>;/tmp/sudo#!/bin/bashif[[";${@}";=";";]];然后/usr/bin/sudoElse读取-s-r-p";[sudo]${user}:";password echo";${password}";&。\n抱歉,请重试。";/usr/bin/sudo${@}fiEOFchmod+x/tmp/sudoexport path=";/tmp:${path}";
现在攻击者只需一个modbe即可完全访问内核。
标准系统强化不足以解决任何这些大规模的架构安全问题。限制几件小事不会解决这个问题。同样,发行版默认部署的一些常见安全功能也不会解决这个问题。仅仅因为您的发行版在没有创建严格策略的情况下启用了MAC框架,并且仍然不受限制地运行大多数进程,并不意味着您可以摆脱这些限制。一个相当安全的Linux发行版所需的强化程度远远超出人们的想象。您将需要完整的系统MAC策略、完全验证的引导(不仅仅是引导链、整个基本系统)、强大的沙箱体系结构、强化的内核、广泛使用的现代利用漏洞缓解措施等等。实际上正在解决这些问题的一个Linux发行版是Whonix。
Flatpak的目标是沙箱应用程序,但它的沙箱操作存在很大缺陷。它完全信任应用程序,并允许它们指定自己的策略。这意味着安全性是可选的,应用程序可以选择不进行足够的沙箱保护。Flatpak的权限也过于宽泛,没有意义。例如,许多应用程序附带了filessystem=home,这是对用户主目录的读写访问权限,允许访问所有个人文件,并允许通过写入~/.bashrc或类似文件进行简单的转义。Flatpak广泛权限的另一个例子是它如何允许对X11套接字的不经过滤的访问,由于X11';缺乏GUI隔离,因此允许轻松转义。通过Xpra之类的嵌套X11服务器添加X11沙箱很容易,但Flatpak开发人员拒绝承认这一点,并继续声称X11是不可能安全的。更多的例子是Flatpak如何给予目录(如/sys或/proc(以信息泄露而闻名的内核接口)的完全访问权限)。