早在今年 4 月就發(fā)布了的 ??Ubuntu 22.04 LTS??，是迄今為止最安全的 Ubuntu 版本。

其安全更新的延長(zhǎng)支持、新的硬件支持和其他林林總總的改進(jìn)，使它在安全方面遠(yuǎn)遠(yuǎn)超過了之前的所有版本。

但它是如何做到這一點(diǎn)的呢？還有，是什么讓這個(gè)版本與以前的版本不同的呢？

嗯，有幾個(gè)原因，Canonical 在一篇新的博客文章中為我們重點(diǎn)指出了這些。在這里，讓我總結(jié)一下，以幫助你了解更多。

是什么讓 Ubuntu 22.04 LTS 變得安全？

在這個(gè)版本中，Ubuntu 團(tuán)隊(duì)似乎投入了大量的工作來確保其長(zhǎng)期的安全性和可靠性。盡管多年來他們以難以想象的方式做到了這一點(diǎn)，但我將強(qiáng)調(diào)其中的幾件事：

• 改進(jìn)的硬件安全措施支持
• 更新了安全包
• 私有家目錄
• OpenSSL 3
• GCC 11
• nftables 作為默認(rèn)的防火墻后端
• Linux 內(nèi)核改進(jìn)

1、改進(jìn)的硬件安全措施支持

隨著英特爾、AMD 和 ARM 的 CPU/SoC 開始推出更多的安全措施，擁有足夠的軟件來讓這些功能發(fā)揮作用就變得越來越重要。

截至目前，Ubuntu 22.04 支持三種主要的硬件安全措施。

英特爾的 “軟件保護(hù)擴(kuò)展Software Guard eXtensions”（SGX）提供了一個(gè)安全獨(dú)立的區(qū)域來進(jìn)行敏感計(jì)算。例如，理想情況下，密碼處理將在這里進(jìn)行，因?yàn)樗_保沒有其他應(yīng)用程序可以訪問這些數(shù)據(jù)。

還有 AMD 的“安全加密虛擬化Secure Encrypted Virtualization”（SEV）。這項(xiàng)技術(shù)旨在防止主機(jī)操作系統(tǒng)干擾正在運(yùn)行的虛擬機(jī)。

盡管這與桌面用戶的相關(guān)性不如其他技術(shù)，但要知道，很多數(shù)據(jù)中心的基礎(chǔ)設(shè)施都依賴虛擬機(jī)來實(shí)現(xiàn)應(yīng)用的容器化。總的來說，此類針對(duì)硬件的安全措施應(yīng)該會(huì)加強(qiáng)對(duì)桌面和服務(wù)器用戶的保護(hù)。

2、Linux 內(nèi)核安全的改進(jìn)

隨著 Ubuntu 的每一次發(fā)布，Linux 內(nèi)核都會(huì)得到升級(jí)，提供了許多有用的功能和支持。

但是，這一次，Canonical 推出了針對(duì)不同的平臺(tái)的優(yōu)化內(nèi)核版本。對(duì)于 OEM 認(rèn)證的桌面設(shè)備，它提供了 ??Linux 內(nèi)核 5.17??。

而對(duì)于所有的桌面和服務(wù)器用戶，可以使用 ??Linux 內(nèi)核 5.15 LTS??。

不僅僅限于這個(gè)概念，在 ??博文?? 中提到的一些基本內(nèi)核安全增強(qiáng)措施包括：

• 支持??核心調(diào)度??，它允許進(jìn)程控制哪些線程可以在 SMT 同級(jí)之間調(diào)度，以便讓它們保護(hù)敏感信息，而不泄露給系統(tǒng)中其他不受信任的進(jìn)程。
• 內(nèi)核堆棧隨機(jī)化提供了一種加固措施，以挫敗希望在內(nèi)核內(nèi)進(jìn)行內(nèi)存破壞攻擊的攻擊者。
• BPF 子系統(tǒng)也有一些安全方面的增強(qiáng)，包括默認(rèn)情況下限制為只有特權(quán)進(jìn)程可以使用，以及對(duì)簽名的 BPF 程序的初步支持。
• 新的 Landlock Linux 安全模塊的加入為應(yīng)用程序沙箱提供了另一種機(jī)制，可以通過 AppArmor 或 SELinux 與更傳統(tǒng)的方式結(jié)合使用。

總之，所有這些改進(jìn)使 Ubuntu 22.04 LTS 成為開發(fā)者、用戶和系統(tǒng)管理員的更安全的選擇。

3、更新的安全軟件包

讓我們從技術(shù)性的安全概念退后一步，回到每個(gè) Ubuntu 用戶都應(yīng)該已經(jīng)熟悉的概念：軟件包。每一個(gè)新的 Ubuntu 版本，軟件庫中的大多數(shù)軟件包都會(huì)更新，以帶來更好的安全性和新功能。

盡管對(duì)于 Ubuntu 22.04 來說，這并不完全是新的東西，但這確實(shí)包括了很多安全方面的更新。這方面的例子包括 openSSL 3 和 GCC 11。

4、OpenSSL 3

OpenSSL 是所有安全通信的支柱。

考慮到包括 MD2 和 DES 在內(nèi)的許多傳統(tǒng)算法已經(jīng)被廢棄并默認(rèn)禁用，OpenSSL 3 作為一個(gè)重大的升級(jí)特別值得關(guān)注。

因此，除非用戶特別想使用不太安全的算法，否則你將在默認(rèn)情況下獲得最好的安全性。

5、GCC 11

另一方面，GCC 是許多開發(fā)者用來將他們的代碼變成可以在你的計(jì)算機(jī)上運(yùn)行的程序的編譯器。

它帶來了許多改進(jìn)，但有一項(xiàng)特別顯著地提高了安全性。靜態(tài)分析得到了極大的加強(qiáng)，使開發(fā)人員能夠更快地發(fā)現(xiàn)軟件的漏洞，在第一步就防止有漏洞的代碼被發(fā)布。

這可能不會(huì)直接影響到用戶，許多開發(fā)人員使用 Ubuntu 來開發(fā)他們的應(yīng)用程序。因此，你下載的很多程序，即使在非 Ubuntu 系統(tǒng)上，也應(yīng)該比以前更安全。

6、私有家目錄

作為一個(gè)傳統(tǒng)上以桌面為重點(diǎn)的發(fā)行版，Ubuntu 經(jīng)常選擇方便而不是安全。然而，隨著他們?cè)絹碓脚Φ赝苿?dòng)云計(jì)算的采用，這種情況必須改變。

以前，任何有權(quán)限進(jìn)入電腦的人都可以打開并查看任何用戶的家目錄。然而，你可以想象，這給非桌面用戶帶來了很多問題。因此，需要改變?yōu)樗接屑夷夸洝?/p>

對(duì)于多用戶系統(tǒng)來說，這可能稍顯不方便，但這可以相對(duì)容易地改變。而且，對(duì)于那些不太熟悉技術(shù)的人來說，他們不需要做任何事情就可以得到更好的安全保障。

7、nftables 作為默認(rèn)防火墻后端

25 年來，防火墻一直是將你的計(jì)算機(jī)與更廣泛的互聯(lián)網(wǎng)隔離開來的一個(gè)關(guān)鍵部分。這些年來，Linux 發(fā)行版通常使用兩種不同的防火墻解決方案：iptables 和 xtables。

然而，近些年來，一種不同的解決方案進(jìn)入了人們的視野：nftables。它提供了顯著的性能和靈活性的改進(jìn)，使網(wǎng)絡(luò)管理員能夠更好地保護(hù)你的設(shè)備。

總結(jié)

毋庸置疑，Ubuntu 22.04 LTS 做了很多不錯(cuò)的升級(jí)。不僅僅是用戶體驗(yàn)，它在安全方面也是一個(gè)重大的飛躍。

當(dāng)然，還有更多，但上面提到的改進(jìn)是很好的成就！