Linux 最佳實踐指南：資料安全

開放性有時會讓剛接觸開源軟體的人，產生安全問題上的疑慮。有些人認為 Linux 散佈套件的推陳出新，意味著缺乏標準化，在安全架構與系統管理上，也沒有最佳的實踐標準。

事實上，開放性與大量出現的不同專案其實是優點。上至 Linux 下至小應用程式的開源專案，都會受到開發者不斷地檢視並加以改進。也就是說有許多雙眼睛在審視這些程式碼，他們都想看到這些程式碼順利運作。

Linux 資料安全確有標準存在，主要就是最初由美國國家安全局開發，於 2000 年公開釋出的 Security Enhanced Linux (SELinux)。其他也有像是 ISO 27001、PCI DSS 等中立於平台之外的標準。不過如果不付諸實用，有了這些工具也毫無意義。

常見的問題出在當 Linux 被不同團隊在不同時間，出自不同目的而部署於資料中心各處時，其組態配置所出現的差異。實作並維護適當的安全措施於是變得很棘手。這是風險所在，特別是今日的 IT 基礎架構乃是奠基在廣泛的分散式網路，這為入侵者提供了企業系統與資料的現成進入點。

標準化是關鍵之處，確保安全標準貫徹應用於 Linux 設計、部署、維護過程中。有三項基礎：

1. 標準作業環境

標準作業環境是一套經過仔細定義的核心建構規格，能協助組織為依據其不同硬體平台、企業應用與工作負載，實作安全且經優化 Linux 系統，發展出一套可重複的流程。核心建構讓系統能迅速且一致地以安全的方式進行部署。

2. 標準作業環境管理平台

標準作業環境管理平台是例如像 Red Hat 的 Satellite 伺服器與 Puppet 這樣的一系列技術，讓系統管理者有辦法輕鬆將重複工作自動化，並快速部署與有效管理標準作業環境與其安全性。標準作業環境管理平台能大幅降低核心建構安全性、部署和維護週期的運作成本。

3. 最佳的系統管理程序實踐

為了維護 Linux 資料安全，安全管理必須成為 FCAPS 等所有管理方法論的關鍵組成部份。

除了標準作業環境管理平台，像是 Centrify 等技術提供了有組織的辨識與存取管理方法，帶來更強大的安全性，更符合規格要求並降低營運成本。

1. 在設計與設定 Linux 建構時以安全為優先
2. 建立並維護最佳的安全組態
3. 及時安裝支援修補和安全更新
4. 監視並回報安全組態異動
5. 嚴密網路與用戶存取
6. 用戶集中管理與認證服務
7. 使用日誌紀錄與稽核以提供品質保證與標準相符性
8. 定期檢視政策與程序
9. 在核心建構組態管理與部署上，挑選像 Puppet 與 Satellite 伺服器這樣的系統管理工具，為用戶認證選擇類似 Centrify 的工具，在監控上選用 Nagios 等工具。

◎本文翻譯自 Linux IT，原作者為 Simon Mitchell：
https://www.linuxit.com/blog/bid/324262/Best-Practice-Linux-Guide-Data-Security?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+LinuxIT+%28LinuxIT+Blog%29