【51CTO.com快譯】本文作者表示，Subgraph是一款大有前途的注重安全的發行版。

按照設計，Linux是一款很安全的操作系統。實際上，我在使用20年的過程中只遇到過一次Linux機器被攻破的情況，那次服務器受到了rootkit的攻擊。在桌面端，我還沒有遇到過任何形式的攻擊。

這倒不是說Linux平臺上的漏洞和攻擊就不存在，它們確實存在。只要想想Heartbleed和Wannacry，就明白Linux并非牢不可破。

由于Linux桌面的人氣越來越高，可以確定桌面惡意軟件和勒索軟件攻擊也會越來越多。這意味著多年來忽視這種威脅的Linux用戶應開始考慮他們選擇的平臺可能受到攻擊。

你平時做什么？

如果你是Linux桌面用戶，可能會考慮采用像Subgraph這樣的發行版。Subgraph是一個桌面計算和通信平臺，旨在強有力地抵御網絡攻擊和惡意軟件/勒索軟件攻擊。但是不像可能試圖實現這類目標的其他平臺，Subgraph在使這一切成為可能的同時，還保留了很高的易用性。由于GNOME桌面，Subgraph非常易于使用。

Subgraph有何不同之處？

這一切都始于操作系統的核心。Subgraph隨帶的內核是用grsecurity/PaX和RAP（旨在防止代碼重用攻擊內核以減輕當前開發技術）構建的，前者是一個面向整個系統的補丁，以緩解漏洞和權限提升，后者旨在防止對內核執行代碼重用攻擊，防范當代的攻擊技術。想了解Subgraph內核的更多信息，請查看GitHub上的Subgraph內核配置（https://github.com/subgraph/subgraph-kernel-configs）。

Subgraph還在獨特的環境（名為Oz）中運行暴露的、易受攻擊的應用程序。Oz旨在將應用程序彼此隔離開來，只將資源授予需要資源的應用程序。組成Oz的技術包括如下：

• Linux命名空間
• 受限制的文件系統環境
• 桌面隔離
• Seccomp和Berkeley數據包過濾器（bpf）

其他安全功能包括如下：

• 大多數自定義的Subgraph代碼是用內存安全的語言Golang編寫的。
• 涵蓋許多系統實用工具和應用程序的AppArmor配置文件。
• 安全事件監視工具。
• 桌面通知（即將發布）。
• Roflcoptor tor控制端口過濾器服務。

安裝子圖

有必要記住，Subgraph是alpha測試版，所以不應該把這個平臺當作日常主力平臺。由于它還是測試版，安裝方面有幾個問題要值得注意。我遇到的第一個奇怪的地方是，Subgraph無法作為VirtualBox虛擬機來安裝。無論怎樣，都行不通。這是已知的bug，但愿開發人員會修復這個缺陷。

第二個問題是，通過USB設備安裝Subgraph非常棘手。你不能使用Unetbootin或Multiboot USB之類的工具創建可啟動的閃驅。你可以使用GNOME Disks來創建USB驅動器，但最好的辦法是使用dd命令。下載ISO映像文件（https://subgraph.com/sgos/download/index.en.html），將USB驅動器插入到電腦，打開終端窗口，找到剛插入的那個USB設備的名稱（命令lsblk適用于此）。最后，用這個命令將ISO映像文件寫入到USB設備：

dd bs=4M if=subgraph-os-alpha_XXX.iso of=/dev/SDX status=progress && sync

其中XXX是Subgraph版本號，SDX是USB設備的名稱。

一旦上述命令完成，你可以重啟機器，安裝Subgraph。安裝過程相當簡單，個別地方麻煩點。首先是安裝程序在安裝之前會完全擦除整個驅動器。這是一個安全措施，避免不了。這個過程需要一段時間（圖1），所以讓它自行完成，你可以改而操心另外的任務。 

圖1：Subgraph安裝過程包括擦除驅動器

接下來，你要為驅動器的加密創建一個密碼（圖2）。 

圖2：創建磁盤加密密碼

你在啟動設備時要用到這個密碼。如果丟失或忘記密碼，就無法啟動進入到Subgraph。該密碼也是對付竊取你數據后企圖訪問數據的那些人的第一道防線，所以要明智地選擇。

Subgraph和另外大多數發行版之間的最后一個區別是，你沒有機會創建用戶名。你確實可以創建用戶密碼，該用戶密碼用于默認用戶：命名用戶。你始終可以通過命令行或GNOME Settings工具來創建新用戶（一旦操作系統安裝完畢）。

安裝完成后，你的Subgraph系統會重啟，提示輸入磁盤加密密碼。成功驗證后，Subgraph將啟動，并進入到GNOME登錄屏幕。使用你在安裝過程中創建的用戶名和密碼來登錄。

具體用法

使用Subgraph時有兩個重要的方面要記住。首先，正如前面提到，這款發行版處于測試開發中，所以還不完善。其次，所有應用程序都在沙箱中運行，網絡通過Tor來處理，所以會碰到應用程序啟動和網絡連接速度不如平常的情況。

我驚訝地發現，Tor瀏覽器（默認也是唯一安裝的瀏覽器）并不直接就被安裝。相反，GNOME Dash上有一個啟動器，首次啟動時它會下載最新版本。這很棒，但我發現下載和安裝失敗了兩次。如果我使用常規的網絡連接，情況不會這么令人頭疼。然而，由于Subgraph通過Tor來工作，我的網絡連接速度慢得要命，所以Tor瀏覽器（26.8 MB程序包）的下載、驗證和安裝耗時約20分鐘。當然，那不是Subgraph的過錯，而是我連接的Tor網絡的過錯。在Tor瀏覽器安裝和運行之前，Subgraph讓我實際上能做的事情很有限。最終，Tor瀏覽器下載好后，一切按預期運行。

應用程序沙箱

不是每個應用程序都要經歷首次啟動時下載新版本的過程。實際上，Tor瀏覽器是我碰到唯一這么做的應用程序。當你打開一個新的應用程序，它會先啟動自己的沙箱，然后打開相應的應用程序。一旦應用程序啟動并運行起來，你會在頂部面板中看到一個下拉列表，列出了當前的每個應用程序沙箱（圖3）。 

圖3：LibreOffice應用程序沙箱啟動并運行，而Tor瀏覽器繼續下載

你可以通過每個應用程序子菜單，將文件添加到特定的沙箱，或者關閉沙箱。關閉沙箱實際上關閉了該應用程序。這不是你應該關閉應用程序本身的方式，而是像平常那樣來關閉應用程序，然后如果你用好應用程序，隨后可以手動關閉沙箱（通過下拉菜單）。比如說如果你打開了LibreOffice，通過關閉沙箱來關閉它，就面臨丟失信息的風險。

由于每個應用程序都在自己的沙箱中啟動，應用程序打開不如其他方式來得快。這是你為使用Subgraph和沙箱作出的犧牲。有些人希望獲得最高的桌面安全性，作這樣的犧牲是值得的。

大有前景的發行版

一些人希望在臺式機上獲得最大的安全性，Subgraph對他們來說是大有前景的發行版。雖然Subgraph確實存在測試版的諸多不足，但看起來它可能會在桌面領域引起轟動，尤其是考慮到惡意軟件和勒索軟件已經非常猖獗。更棒的是，Subgraph很可能會成為一款任何人（不管能力高低）都可以使用的注重安全的桌面發行版。一旦Subgraph成為正式版，我預測這款獨特的Linux發行版會大放異彩。

原文標題：Subgraph: This Security-Focused Distro Is Malware’s Worst Nightmare，作者：Jack Wallen

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】