Ubuntu22.04LTS于今年4月发布,是迄今为止最安全的Ubuntu版本。它对安全更新的扩展支持、新硬件支持和许多其他改进使其比以前的任何版本都更加安全。但是它是怎么做到的呢?另外,是什么让这个版本与以前的版本不同?好吧,有几个原因,Canonical在新的博客文章中为我们强调了这些原因。在这里,让我总结一下,以帮助您了解更多。是什么让Ubuntu22.04LTS安全?在此版本中,Ubuntu团队似乎投入了大量工作来确保其长期的安全性和可靠性。尽管多年来他们以难以想象的方式做到了这一点,但我将重点介绍其中的一些:改进的硬件安全措施支持更新的安全包私有主目录OpenSSL3GCC11nftables作为默认防火墙后端Linux内核改进1,改进的硬件安全支持随着Intel、AMD和ARM的CPU/SoC开始推出更多安全措施,拥有足够的软件来使这些功能发挥作用变得越来越重要。截至目前,Ubuntu22.04支持三种主要的硬件安全措施。Intel的“SoftwareGuardeXtensions”(SGX)为敏感计算提供了一个安全的隔离区域。例如,密码处理最好在此处进行,因为它确保没有其他应用程序可以访问数据。还有AMD的“安全加密虚拟化”(SEV)。该技术旨在防止主机操作系统干扰正在运行的虚拟机。尽管与其他技术相比,这与桌面用户的相关性较低,但要知道许多数据中心基础设施都依赖虚拟机来容器化应用程序。总体而言,此类特定于硬件的安全措施应该会加强对台式机和服务器用户的保护。2.Linux内核安全性的提高随着Ubuntu的每一次发布,Linux内核都会升级,提供许多有用的功能和支持。不过,这一次,Canonical推出了针对不同平台的优化内核版本。对于OEM认证的台式机,它提供Linux内核5.17。对于所有桌面和服务器用户,Linux内核5.15LTS可用。不限于此概念,博文中提到的一些基本内核安全增强功能包括:支持核心调度,它允许进程控制哪些线程可以在SMT对等方之间调度,以便它们保护敏感信息不泄露给其他不受信任的人系统中的进程。内核堆栈随机化提供了一种强化措施来阻止希望在内核中执行内存损坏攻击的攻击者。BPF子系统也有一些安全性增强,包括默认情况下仅限特权进程访问,以及对签名BPF程序的初始支持。添加新的LandlockLinux安全模块为应用程序沙箱提供了另一种机制,可以通过AppArmor或SELinux与更传统的方法结合使用。总而言之,所有这些改进使Ubuntu22.04LTS成为开发人员、用户和系统管理员更安全的选择。3.更新的安全包让我们从安全的技术概念上退一步,回到每个Ubuntu用户都应该已经熟悉的一个概念:软件包。对于每个新的Ubuntu版本,软件存储库中的大多数软件包都会更新,以带来更好的安全性和新功能。虽然这对于Ubuntu22.04来说并不是全新的,但它确实包含了很多安全更新。这方面的例子包括openSSL3和GCC11。4.OpenSSL3OpenSSL是所有安全通信的支柱。考虑到许多遗留算法(包括MD2和DES)在默认情况下已被弃用和禁用,OpenSSL3作为一项重大升级尤其值得注意。因此,除非用户特别想使用安全性较低的算法,否则默认情况下您将获得最佳安全性。5.GCC11另一方面,GCC是许多开发人员用来将他们的代码转换为可以在您的计算机上运行的程序的编译器。它带来了许多改进,但其中一项改进显着提高了安全性。静态分析得到极大增强,使开发人员能够更快地发现软件漏洞,防止漏洞代码在第一步被释放。这可能不会直接影响用户,许多开发人员使用Ubuntu来开发他们的应用程序。因此,您下载的许多程序,即使是在非Ubuntu系统上,也应该比以前更安全。6.私有主目录作为传统上以桌面为中心的发行版,Ubuntu通常会选择方便而不是安全。然而,随着他们越来越努力地推动云采用,这种情况必须改变。以前,任何有权访问计算机的人都可以打开和查看任何用户的主目录。但是,您可以想象,这会给非桌面用户带来很多问题。因此,有必要更改为私有主目录。这在多用户系统上可能有点不方便,但这可以相对容易地改变。而且,对于那些不太懂技术的人来说,他们不需要做任何事情来获得更好的安全性。7.nftables作为默认的防火墙后端25年来,防火墙一直是将您的计算机与更广泛的Internet隔离的关键部分。多年来,Linux发行版通常使用两种不同的防火墙解决方案:iptables和xtables。然而,近年来,一种不同的解决方案成为人们关注的焦点:nftables。它提供了显着的性能和灵活性改进,使网络管理员能够更好地保护您的设备。总结不用说,Ubuntu22.04LTS有很多不错的升级。这不仅是为了用户体验,也是安全方面的重大飞跃。当然,还有更多,但上面提到的改进是不错的成就!
