EnGarde Secure Linux 作为一款办公室安全产品进行销售，是一个小型办公室服务器发行版，具有许多安全功能。 这些功能包括安全的邮件服务器、支持虚拟主机的安全 Web 服务器、文件服务器、DNS 功能和小型办公室防火墙。

凭借 Web 管理功能和面向 Microsoft 客户端操作系统的服务，EnGarde 在一个易于使用的盒子里提供了强大的设置，并且它主要使用免费软件完成了这一切。

如今，我对 Linux 发行版最关注的事情之一是它们如何很好地解决了安装过程。 EnGarde 的安装非常容易完成。 基于文本的安装程序很像过去使用的旧 Red Hat 安装程序。 在安装过程中，您选择要构建的机器类型（当然，您可以构建组合）。 您可以从防火墙、网络入侵检测系统（使用 Snort）、数据库服务器（运行 MySQL）、安全邮件（SMTP、POP、IMAP）服务器、VPN 设备、DNS 服务器或安全 Web 服务器中进行选择。 安装了适当的组件且仅安装了适当的组件，这意味着您在网络上安装了一个精简的系统，并具有合理的默认设置。

配置通过 WebTool 界面完成，但您始终可以通过命令行访问系统。 未安装 X。首次重启后，您通过 Web 浏览器在主机上配置一些参数，然后再次重启。 从那里，您可以配置各种服务器参数，包括安全 Web 或邮件服务器的证书、防火墙参数等。

WebTool UI 也是一个易于使用的系统界面，允许您检查系统、控制服务和查看系统参数。 例如，您可以通过 UI 控制对 SSH 守护进程的访问，控制可以连接的地址、用户和组。 也可以从 WebTool 界面控制系统日志和备份。

值得注意的是可以使用 EnGarde Secure Linux 安装和管理的几个服务器组件。 安全电子邮件服务器的功能之一是 SquirrelMail，这是一个基于 Web 的电子邮件解决方案。 SquirrelMail 可以为规模合适的工作组或用户群提供功能丰富且与平台无关的电子邮件解决方案，该解决方案在安全平台上进行管理。 WebTool UI 可用于配置电子邮件系统，包括 SSL 增强的 POP3 和 IMAP 服务器以及 Postfix SMTP 服务器。

另一个组件是用作 DNS 服务器的 BIND 8.2.5。 它可以提供丰富的 DNS 功能，包括拆分和动态 DNS，所有这些都可以通过 WebTool UI 进行配置。 此外，Web 服务器以及虚拟主机和 SSL 证书均由 WebTool UI 管理，为用户提供了一个用于完整服务器的强大界面。 最后，UI 可用于配置防火墙和端口重定向规则，但目前此功能不如它可能的那样成熟。

作为默认安装的一部分，EnGarde 安装了许多管理员最终会稍后安装的组件。 第一个是 OpenWall 补丁，它提供了一个不可执行的堆栈。 这对于防止通常看到的许多常见缓冲区溢出漏洞非常有效，但它无法阻止堆利用、格式字符串攻击或配置问题等漏洞。

其次，Tripwire 基于主机的入侵检测系统安装在基本安装中。 Tripwire 构建一个数据库并监视文件更改，跟踪每个文件的几个特征。 这种方法远远超出了 RPM 工具在验证模式下监视的 MD5 总和和日期，并且它对主机的文件系统进行了严格的监视。

最后，LIDS 访问控制系统与默认内核一起安装。 如果需要，您也可以启动缺少 LIDS 系统的标准内核。 LIDS 提供了一种最大限度地减少任何攻击者可能造成的影响的方法。

正如您所期望的那样，最佳实践也在发挥作用。 默认情况下禁用通过 FTP 的连接，未安装 Telnet，并且通过私钥身份验证控制 SSH 连接。 UI 生成并下载一个私有 SSH 密钥，然后您可以将其与 SSH 客户端一起使用以连接到 EnGarde 服务器。

商业 Guardian Digital 客户可以使用 Guardian Digital 安全网络来保持其系统最新。 随着新软件包的发布，您可以通过 UI 安装它们，从而轻松地保持补丁的最新状态。

我对自动更新系统通常担心的一个问题是配置丢失或使用新配置。 例如，OpenSSH 将其守护进程配置文件从 /etc/sshd_config 移动到 /etc/ssh/sshd_config。 在更新期间，不清楚配置文件是否受到尊重，因此当出现问题时，您只能通过 CLI 来修复它。 如果您不小心，这当然会破坏 UI 交互并迅速螺旋式下降。 尽管如此，Guardian 似乎已经很好地管理了这一点； 我能够使用此机制更新我的 OpenSSH 安装，而没有任何错误或连接丢失。

当我最初开始研究该系统时，我惊讶地发现软件的版本号有些过时。 这包括 OpenSSH 软件包和 2.2.19 内核。

为了更彻底地了解其原因，并确保 Guardian Digital 知道他们在做什么，我在评估过程中与公司代表进行了交谈。 我们进行了富有成效的对话，我的许多担忧都得到了解决。

Guardian Digital 选择使用 2.2 内核系列，是因为该公司担心 2.4 内核的稳定性和安全性。 在 EnGarde Secure Linux 的开发和工程设计期间，2.4 内核系列还不够成熟。 因此，工程团队决定采用经过验证的技术，这对于安全产品来说是一个明智之举。 关键功能和修复程序被向后移植。

此外，OpenWall 内核补丁仅对 2.2 内核系列提供生产质量，该补丁提供隐私增强功能和不可执行的堆栈。 因此，EnGarde 选择安全性和稳定性而不是最前沿，因此附带了 2.2.19 内核。

同样，OpenSSH 保持在 2.3 版本的选择是基于“如果它没有坏，就不要修理它”的原则。 同样，对于安全产品或任何核心基础设施产品来说，这是一个明智之举。 尽管已集成功能和增强功能，但在 OpenSSH 中检测到最近的远程漏洞之前，没有必要升级到更新的版本。 当时，EnGarde 迅速发布了 OpenSSH 3.3p1 软件包，并在其版本的 OpenSSH 中引入了 privsep 功能。

所有这些担忧都在与 Guardian Digital 代表的对话中得到了解决。 我同意他们选择已知安全问题和修复程序而不是安全性和稳定性方面未知的做法。

在测试 EnGarde 的过程中，我发现了一些需要改进的地方。 尽管其中一些领域已通过其他产品解决，或者可能不适合 EnGarde Secure Linux 1.2 的性质，但它们的加入将增强这款原本领先的产品。

能够修改 Tripwire 数据库设置（例如存储位置）以及改进的报告 UI 将是不错的。 虽然 UI 确实可以生成文本报告，但浏览没有突出显示或着色的平面文本页面使得发现更改变得困难。 数据库的不同的一次写入存储位置也将大大提高系统的安全性。

同样，LIDS 系统的配置工具也将是一个明智的补充。 LIDS 可能很强大，但更改它的能力需要对功能有相当深入的了解。 对于 EnGarde 系统来说，一个简单的 UI 来授予或撤销此类功能将非常有用，就像 IRIX 提供的那样。 它不必很复杂，但足以确保 LIDS 功能以与站点一致的方式使用。

EnGarde 上的密码管理也可以改进。 例如，邮件服务器的几个密码建议相当弱且容易猜测。 集成密码建议工具（一种提供更强建议的工具）将是一个受欢迎的发现。

防火墙服务基于 ipchains，这是一个无状态防火墙工具。 这意味着它无法理解连接，只能理解每个数据包的标志，这是 2.4 防火墙软件包 Netfilter 可以做到的。 添加 SPF 等工具（可以将此功能添加到 ipchains）将使他们的防火墙更加强大。

最后，小型办公室肯定可以使用强大的 Web 代理服务。 防火墙配置工具允许您使用内置的 ipchains 应用程序助手，但它们与可靠的代理不相上下。

其中一些担忧无法在 EnGarde 旨在成为的企业产品中得到解决。 然而，其中一些只能增强正在形成的同类产品中的领导者。

Guardian Digital 在其 EnGarde Secure Linux Professional 发行版方面取得了巨大进步。 凭借其产品的 1.2 版本，他们展示了 Linux 解决方案如何很好地融入基于 Windows 的组织。 此外，他们的解决方案易于设置和使用，这意味着您可以保护您的网络，而无需成为所有方面的专家。 推荐产品。

产品信息/优点/缺点