刚刚进入二月,在 360安全卫士 for Linux 瞬间更名为 360安全卫士国产系统专版 。紧接着不久, Dr.Web 宣布发现一款可能源自 ChinaZ 的 Linux 系统的后门程序 。加之又被朝内媒体炒作起来的 OpenSSL 基金会事宜,不由得思绪飘溢,再看看 Linux 平台上的杀毒软件。
如果您是本站的老读者的话,或许还记得这篇发表在 2008 年的文章: 三款 Linux 下的免费桌面级杀毒软件 。既然是回顾,就从那里开始好了。
略微惊讶中,有查找了其他面对个人用户的 商业免费方案 :
除了开源软件以外,商业解决方案处于衰败状态。
毫无疑问,继承自 Unix 系的用户权限管理体系使得 Linux 在用于桌面环境加权不少。由于权限的限定,就算单一用户被感染了,也不会影响其他用户或者系统的工作。
此外,还有诸如 SELinux 和 AppArmor 等强制访问控制机制,启用后系统在面对 0-day 安全漏洞时也可以做到比较有效的风险控制,增加了借助单一服务安全漏洞渗透整个系统的难度。
针对 Linux 桌面的杀毒软件方案的衰落,难道就意味着 Linux 桌面安全无比了么?
个人看法: 完全不是 。
用户权限设计和 MAC 访问控制机制的设计初衷都是 保护操作系统及其上服务的安全性 ,用户群体是系统管理员,降低系统及服务重新配置的工作量。
但是对于普通桌面用户来讲,重要的不是搭载系统的 /
根分区,而是 搭载用户数据的 $HOME
。
而这方面,恰好是系统内建管理机制和访问控制系统做不到的地方。
此外相比收过训练的系统管理员,普通桌面用户安全意识更低,容易受到定向攻击。简单一个假想例子:
rm-rf $XDG_PICTURES_DIR
之后用户默认存放照片的目录就没了……系统照样运作,没有越权,不会触发警报……
更复杂的些,上面这个方法还可以针对浏览器配置文件目录进行注入,配合“教学贴”让初学用户忽略浏览器自身的完整性警告或者插件安全提醒。之后能干的事情就多了……
以上能成功,其实就是利用了当前的三个现状:
可惜的是,似乎当下 Linux 平台的杀毒软件似乎没有哪个能做到类似 Windows 下同类产品的“一揽子”式保护。普通 Linux 桌面用户,风险犹存。
在之前查询 Linux 商业免费杀毒软件时,注意到几乎这些商业软件都提供了针对 OS X 平台的产品。由于个人并未使用过近期的 OS X
产品,不过似乎水果厂对于安全也是做了不少改善,包括限定软件安装来源等。不过其中有多少方案可以在崇尚开源且自由的 Linux
桌面借鉴,不好说。而这波针对 OS X 的杀毒软件,是不是也是类似当年 Linux 桌面的昙花一现,暂且观望吧。
不过 Linux 桌面在安全方面也不是停滞不前,基于 KDBUS、Wayland、SELinux、cgroups 等的 GNOME Sandbox 应用 正在开发,能不能实现期望中的更安全的应用、更简便的开发,在 接下来的 GNOME 3.16 版本 ,就有可能初步体验下了。
至少我来看,市场是有的,就看是谁来填了。