在我写这篇文章的时候，又有一种电子邮件蠕虫正在非 Linux 计算机中传播，并且顺便用“您有病毒”的退信塞满了我的邮箱，这些退信来自一些愚蠢的软件，这些软件不知为何仍然不明白蠕虫会伪造邮件这一概念。没有什么比针对非 Linux 系统的蠕虫攻击更能激起 Linux 用户自鸣得意的优越感了。

别得意。这里的攻击路径只有一步之遥。唯一让我们安全的是，大多数 Linux 程序都不容易运行来自收件箱的附件。但是，如果将常用桌面应用程序中的漏洞与一点社会工程学相结合，您就会得到一个 Linux 蠕虫。

去年，一个名为 CAN-2003-0434 的不太引人注目的漏洞允许普通的 PDF 文件以您的身份运行任意命令。Linux 用户和发行版能够足够快地处理它，使其没有变成传播蠕虫的途径。 随着当今 Linux 用户群的扩大和桌面标准化的提高，下一个漏洞将带来更大的风险。

现在我们已经吓唬过您了，我们将介绍您可以使用的工具，不仅可以防止邮件蠕虫，还可以防止我们尚不了解的其他攻击。运行本地防火墙，并且不要让公司桌面上的程序访问外部 SMTP 服务器。使用 Chris Lowth 在第24页的 Kernel Korner 中的高级 iptables 建议，在每台主机上部署您想要的确切防火墙策略。当您将业务应用程序迁移到 PHP 时，请使用 Xavier Spriet 在第54页的经过实战检验的设计来设计安全性。

并且，在垃圾邮件战争中迈出下一步。从源头处理伪造。虽然美国实际上已经将垃圾邮件合法化，但我们最近看到的所有 ISP 广告都使用了垃圾邮件过滤作为卖点。Meng Weng Wong 在第 62 页介绍的 Sender Permitted From，让您可以从杂草中探出头来，让邮件送达使用严格垃圾邮件过滤的客户。SPF 是一种“看这里，我很正规”的措施，您可以在几分钟内为简单的邮件配置进行部署。

最后，在我们的封面故事中，Ibrahim Haddad 和 Miroslaw Zakrzewski 解释了一个有希望的例子，说明如何应用内核的 Linux Security Module (LSM) 接口来为在集群上运行的电信应用程序添加进程级访问控制（第 68 页）。开发人员可以不受限制地执行这种级别的工作，因为 GPL 许可共识赋予了我们所有人自由。保持您的系统安全，并享受本月的期刊。