真实世界 Linux 安全 似乎是为了讨好我们而写的，因此我们不得不给这本书好评。Bob Toxen 说大多数 Linux 发行版默认安装了太多额外的守护进程，他将侵犯隐私的网络广告商 DoubleClick, Inc. 列为一个安全问题，甚至在示例中使用了 https://linuxjournal.cn/ 作为主机之一。我们已经喜欢他了。

我们也喜欢这本书的概念，它是一本充满乐趣的大型工作手册，其中充满了我们可以做的事情，以提高 Linux 系统的安全性，以及如何在系统受到攻击时准备以最小的痛苦恢复。所以请抵制住诱惑，在看了一眼这 694 页关于破解、漏洞利用、错误和漏洞的内容后，就回家，拔掉 Linux 电脑的网络连接，然后拿着猎枪躲在它后面。这本书是为了帮助你，而不是吓唬你，你应该能够在周末完成最重要的部分。没有必要惊慌，但也没有理由沾沾自喜。

你真的需要这本书吗？我们希望能够说，只有当你提供网络服务或开发软件时才需要它。未来，当 Linux 发行版开始对它们的默认安全策略更加明智时，如果你安装了一个锁定的、仅客户端的配置，并订阅了一个邮件列表以获取偶尔的安全更新和错误修复，你也许可以不用这本书。但在未来，你也会在月球上拥有一套公寓。现在仍然是 2001 年地球上狂野而粗犷的 Linux 世界，并且每个印在收缩包装的发行版软件包侧面的清单网络功能都意味着你更多的工作——你需要保护或删除的东西。

在我们开始介绍 RWLS 的优点之前，让我们先从严厉的批评开始，好吗？首先，这本书提到了浏览器安全，但没有达到当前隐私工具的最新水平。Toxen 提到 DoubleClick 存在安全风险是好事，但是设置到他们某些服务器的黑洞路由只会让你在 DoubleClick 移动它们时需要维护一些东西。它不如使你的名称服务器对 doubleclick.net 域具有权威性有效，或者更好的是，运行代理。而且有比仅仅将 .netscape/cookies 链接到 /dev/null 更好的方法来管理 cookie。

然而，这基本上是一本为系统管理员编写的书，所以没什么大不了的。用户可以很容易地找到浏览器隐私提示——困难的部分是锁定服务。但奇怪的是，在第 13 章中，Toxen 驳斥了整个网络时间协议 (NTP)，并评论说：“有些人喜欢 NTP，但它只使用 UDP，这太不安全了。” 他建议使用旧的 netdate 或 rdate 程序，而不是 NTP，这些程序来自 cron，并在系统被破解时手动计算时钟漂移。

NTP 具有加密认证功能，即使在不使用认证的情况下，也只会让伪造 UDP 数据包的攻击者非常缓慢地欺骗你的计算机时钟。在所有系统上拥有精确到秒的同步文件修改时间和日志条目的优势，难道不比这种难以进行的攻击的风险更大吗？当你最没有时间这样做的时候，为什么要让自己去纠正日志呢？

然而，制定一个合理安全的 NTP 计划，是在你理解了本书其余部分解释的安全原则之后，你应该能够做到的事情。提示：在你的内部 NTP 服务器和合作的 ISP、朋友或商业伙伴的服务器之间使用身份验证；使用多个可信的公共时间服务器；如果你偏执，可以添加无线电时钟；并检查你的日志。

这就是严厉批评的全部内容。你可能会喜欢这本书的是大量的配置调整、编码技巧、最大限度地减少入侵影响的准备措施、安全理念、轶事、办公室政治以及关于如何在机场偷窃笔记本电脑的技巧。这本书似乎有点跳跃，但这不像你在这里读一些自由形式的脑力倾泻；如果你正在做安全工作，你真的必须一次从多个层面考虑问题。Toxen 的“带着笔记本电脑和电话线的笨蛋”绕过防火墙的人可能是任何人——使用 DSL 的家庭用户，或者入住拉斯维加斯 Embassy Suites（如果你去拉斯维加斯，我个人推荐这家酒店）并插入“房间内高速互联网接入仅需 9.95 美元”的旅行用户。

如果你的组织主要依靠防火墙来保障安全，那么笔记本电脑的情况应该会让你感到不安。Toxen 确实讨论了防火墙，但主要集中在基于主机的安全性上——他指出许多威胁来自组织内部。在本书的早期，他介绍了“攻击路径”的概念，作为系统管理员，你应该设计攻击路径，以便入侵者必须在通往重要计算机 root 权限的路径上突破尽可能多的困难层。防火墙可以是路径中的一步，所以他确实涵盖了 IP 链。

Web 开发人员将从本书中获得很多帮助，既包括关于 CGI 和其他 Web 技术的注重细节的建议，也包括关于网站架构的建议。Toxen 的“单向信用卡服务器”架构，其中一个单独的盒子将信用卡数据保存在主商务站点数据库之外，这是一个很酷的想法，也适用于其他类型的敏感数据。纵深防御是正确的方法。仅仅因为一个邪恶的招聘人员可以闯入并获得员工地址列表，并不意味着她也可以看到他们的 Wasserman 测试结果或 SAT 分数。

RWLS 在趣味阅读方面也获得了好评，尤其是关于 Toxen 作为加州大学伯克利分校的学生，如何在他们的 BSD UNIX 系统上获得并保持 root 权限的故事。在组织结构上，各个部分划分得足够清晰，以便你可以阅读一般内容和你现在运行的特定内容，然后在添加其他服务或承担责任时阅读有关其他服务的部分。

除非你自己编写代码并运行一个雄心勃勃的互联网站点，否则你可能不会负责本书中涵盖的所有安全任务。它揭示了 Linux 安全领域到底有多么广泛。你肯定会找到需要检查自己系统的内容，以便现在降低入侵风险，并且你还会发现发人深省的内容，用于规划未来以安全为中心的项目。