FreeBSD 中文社区
搜索 K

主题

17.1 信息安全概论

信息安全指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施等)受到保护,使其免受偶然或恶意因素的破坏、更改与泄露,信息的机密性、完整性和可用性得到保证,系统可靠、正常地运行,信息服务连续不中断。

安全是所有人的责任。任何系统中的弱点都可能使入侵者获取关键信息并对整个网络造成破坏。信息安全的核心原则之一是 CIA 三合一,即信息系统的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。CIA 三要素由美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)首次提出。

CIA 三合一是计算机安全的基石,因为客户和用户期望其数据得到保护。例如,客户期望其信用卡信息被安全存储(机密性),他们的订单不会被暗中篡改(完整性),并且他们随时可以访问订单信息(可用性)。

为了提供 CIA 安全,安全专家采用深度防御策略。该策略的理念是在多个层次上增加安全措施,以防止单一层次的失败导致整个安全系统崩溃。例如,系统管理员不能仅开启防火墙便认为网络或系统是安全的。还必须审计账户,检查二进制文件的完整性,并确保没有安装恶意工具。要实施有效的安全策略,必须了解威胁以及如何防御这些威胁。

在计算机安全中,什么是威胁?威胁不仅指远程攻击者试图从远程位置未经授权访问系统。威胁还包括员工、恶意软件、未经授权的网络设备、自然灾害、安全漏洞,甚至竞争公司。

系统和网络可能在没有授权的情况下被访问,有时是意外发生的,也可能是远程攻击者所为,甚至可能由企业间谍活动或前员工所为。作为用户,重要的是在发生安全漏洞时做好准备,承认自己的错误,同时将可能的问题报告给安全团队。作为管理员,了解威胁并做好准备应对它们同样至关重要。

技巧

至今已存在数百种关于如何保护系统和网络的标准实践,问题不在于应该遵守哪个最佳实践、行业标准或法律要求,而在于坚信:“世界上没有绝对安全的操作系统”。另见 2014 年的德国电影 Who Am I – Kein System ist sicher 即《我是谁:没有绝对安全的系统》。

作为 FreeBSD 用户,理解如何防范攻击和入侵是必不可少的。

FreeBSD 操作系统内置安全事件审计支持。事件审计支持可靠、细粒度且可配置的日志记录,涵盖了各种安全相关的系统事件,包括登录、配置更改以及文件和网络访问。这些日志记录对于实时系统监控、入侵检测和事后分析非常宝贵。

FreeBSD 支持基于 POSIX®.1e 草案的安全扩展。这些安全机制包括文件系统访问控制列表(Access Control Lists, ACL)和强制访问控制(MAC)。MAC 允许加载访问控制模块以实施安全策略。一些模块为系统的狭窄子集提供保护,强化特定服务,而另一些则提供跨所有主体和对象的全面标签安全。强制性部分的定义意味着控制的执行由管理员和操作系统共同完成。这与默认的安全机制——自主访问控制(DAC)形成对比,后者将控制的执行留给用户的自由裁量。

17.1.1 FreeBSD 的安全设计

  • Leidinger 博客:Leidinger, J. FreeBSD Security Hardening with Compiler Options[EB/OL]. (2025-05-24)[2026-03-26]. https://www.leidinger.net/blog/2025/05/24/freebsd-security-hardening-with-compiler-options/. FreeBSD 项目已对部分 Port 实施加固。另见 Bug 284270:FreeBSD Project. Bug 284270 - Security: FreeBSD Security Hardening[EB/OL]. [2026-03-26]. https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=284270.
  • 披露的安全漏洞少于其他主流操作系统(尽管可能存在样本数量较少的客观因素)。截至 2025 年 9 月,FreeBSD 基本系统(用户空间与内核)的 CVE 漏洞数量约为 Linux 内核的二十分之一(根据 CVEdetails.com. CVE security vulnerability database. Security vulnerabilities, exploits, references and more[EB/OL]. [2026-03-26]. https://www.cvedetails.com/. 统计),而 Linux 内核的 CVE 数量远超 Windows(二者并非同一维度:Linux 内核仅为内核,而 Windows 通常指全部组件)。同期,OpenBSD 的 CVE 漏洞数量约为 FreeBSD 的 40%。
  • 可避免在产品和架构中出现单点故障。
  • 安全事件审计。
  • Robert Watson, Stacey Son. TrustedBSD - FreeBSD Wiki[EB/OL]. (2022-09-15)[2026-03-26]. https://wiki.freebsd.org/TrustedBSD/. FreeBSD 集成了标准 UNIX DAC、ACL、TrustedBSD MAC 安全框架(基于 POSIX®.1e 草案的安全扩展)
  • 集成 W^X 策略,参见 D28050 代码审查:kib. Implement enforcing write XOR execute mapping policy[EB/OL]. (2021-01-08)[2026-03-26]. https://reviews.freebsd.org/D28050.
  • 默认启用了内核和用户空间的 PIE 和 ASLR。ASLR 最初由 D27666 代码审查提出(2020-12-18),PIE 默认启用由 D28328 实现,二者合并至 HEAD 后,自 FreeBSD 13.2-RELEASE(2023 年 4 月 11 日)起 ASLR 对 64 位可执行文件默认启用。参见 D27666 代码审查:mw. Enable ASLR by default for 64-bit executables[EB/OL]. (2020-12-18)[2026-04-17]. https://reviews.freebsd.org/D27666; D28328 代码审查:mw. Enable PIE by default on 64-bit architectures[EB/OL]. [2026-04-17]. https://reviews.freebsd.org/D28328; FreeBSD 13.2-RELEASE 公告:FreeBSD Project. FreeBSD 13.2-RELEASE Announcement[EB/OL]. (2023-04-11)[2026-04-17]. https://www.freebsd.org/releases/13.2R/announce/.
  • FreeBSD 通过了 National Institute of Standards and Technology(NIST,美国国家标准及技术研究所)安全软件开发框架(SSDF)认证,参见 FreeBSD 基金会 SSDF 认证新闻:FreeBSD Foundation. FreeBSD Foundation Announces SSDF Attestation[EB/OL]. (2023-11-03)[2026-03-26]. https://freebsdfoundation.org/news-and-events/latest-news/freebsd-foundation-announces-ssdf-attestation/.
  • 实现了 FreeBSD 14 CIS 基准。参见 FreeBSD 基金会 CIS 基准博客:FreeBSD Foundation. New CIS® FreeBSD 14 Benchmark: Secure Your Systems with Expert-Guided Best Practices[EB/OL]. (2024-08-19)[2026-03-26]. https://freebsdfoundation.org/blog/new-cis-freebsd-14-benchmark-secure-your-systems-with-expert-guided-best-practices/.
  • 正在实现 FreeBSD 的零信任构建,参见 Sovereign Tech Agency 相关赞助。
  • 基于 GEOM 框架的全盘加密(含 ZFS、swap)方案。
  • 正在改进软件物料清单(Software Bill of Materials,SBOM),参见 Sovereign Tech Agency 相关赞助。
  • Capsicum 框架,并且已经对基本系统中大量工具进行了能力化加固。参见 Capsicum Wiki:FreeBSD Project. Capsicum - FreeBSD Wiki[EB/OL]. [2026-03-26]. https://wiki.freebsd.org/Capsicum.
  • FreeBSD 内核拥有五种不同的安全级别(securelevel)可以自由选择,参见 security 手册页:FreeBSD Project. security - introduction to security under FreeBSD[EB/OL]. [2026-03-26]. https://man.freebsd.org/cgi/man.cgi?query=security&sektion=7. 另见 mitigations 手册页:FreeBSD Project. mitigations - FreeBSD Security Vulnerability Mitigations[EB/OL]. [2026-03-26]. https://man.freebsd.org/cgi/man.cgi?query=mitigations&sektion=7. 手册页还介绍了 FreeBSD 上若干安全漏洞缓解手段。

17.1.2 课后习题

  1. 解释为什么人们往往对“官方网站”分发的软件持有一种天然的信任感(例如“只从官方网站下载软件”这种说法),这种信任是正确可靠的吗?(参见 DMkiIIer. Warning: HWMonitor 1.63 download on the official site may contain malware? [EB/OL]. r/pcmasterrace, Reddit, (2026-04-10)[2026-04-11]. https://www.reddit.com/r/pcmasterrace/comments/1sh4e5l/warning_hwmonitor_163_download_on_the_official/.)