通常，即使无法完全封闭漏洞，内核开发者也会尝试减小针对 Linux 的攻击面。这样的补丁是否能进入内核通常取决于运气。Linus Torvalds 总是更喜欢真正封闭漏洞的安全补丁，而不是仅仅让攻击者稍微难以得手。

“Linux 就是 Linux 就是 Linux，”这是我最近与一家主要的跨国关键基础设施公司开会时听到的直接引语。令人惊讶且正确的是，一位聪明而勇敢的工程主管回应了他的团队成员的这一说法，响亮地说道：“那是不对的。” 让我们明确一点，选择商业 Linux 不像选择玉米片。当您的目标是嵌入式系统时尤其如此。

来自 IBM 的 Mike Rapoport 发起了一项在 Linux 内核中实现地址空间隔离的提议。地址空间隔离源于虚拟内存的概念——系统将其所有硬件设备的内存地址映射到一个干净的虚拟空间中，以便它们看起来都像一个平滑的可用 RAM 范围。实现虚拟内存的系统还可以创建隔离的地址空间，这些地址空间仅对系统的部分或某些进程可用。

从头开始介绍 PKI、TLS 和 X.509。公钥基础设施 (PKI) 提供了一个加密和数据通信标准框架，用于保护公共网络上的通信。PKI 的核心是在客户端、服务器和证书颁发机构 (CA) 之间建立的信任。这种信任是通过证书的生成、交换和验证来建立和传播的。

如果您使用 GPG 密钥，请了解将它们存储在智能卡上的好处。

Linux 内核栈是诱人的攻击目标。这是因为内核需要跟踪它的位置。如果一个函数被调用，然后调用另一个函数，再调用另一个函数，内核需要记住它们被调用的顺序，以便每个函数都可以返回到调用它的函数。为此，内核维护一个“栈”，其中包含表示其当前上下文历史的值。

了解最近发布的 YubiKey 5 硬件身份验证器系列，以及使用新的 WebAuthn API 进行 Web 身份验证如何利用 YubiKey 等设备进行轻松的网站注册和强大的用户身份验证。

Bareos (Backup Archiving Recovery Open Sourced) 是一个跨网络的开源备份解决方案，可保存、归档和恢复来自所有主要操作系统的数据。Bareos 项目于 2010 年作为 Bacula 的分支启动，现在正在 AGPLv3 许可证下开发。

通过 GPG 签名保护您的代码提交免受恶意更改。

如果您能记住所有密码，那说明它们不是好密码。我曾经教人们如何创建“好”密码。这些密码需要很长、难以猜测且易于记住。有很多技巧可以让您的密码更好，多年来，这已经足够了。但现在已经不够了。

Librem Key 是一种新的硬件令牌，通过在受支持的系统上为启动、登录和磁盘解密添加物理身份验证因素来提高 Linux 安全性。它还具有一些使其成为通用的 OpenPGP 智能卡的功能。本文着眼于 Librem Key 如何与 YubiKey 5 等其他多因素令牌相抗衡，并考虑是什么使 Librem Key 成为独特的受信任计算工具。

您已经部署了 Kubernetes，但是现在您将如何安全地将其交到您的开发人员和管理员手中？

通常期望称职的间谍都擅长保密。凭借死信箱、加密、氰化物药丸等，公开分享有用的信息不应该是工作职责的一部分。因此，几年前，当一些顶级间谍机构开始向 GitHub 贡献代码，并通过开源他们的一些软件将其提供给大众时，这让不少人感到措手不及。

漏洞总是会发生。每时每刻，软件漏洞都在努力工作，咬伤计算机用户的后部（比喻意义上的）。它们中的许多漏洞都没有被注意到（是漏洞，而不是后部）。更多漏洞上升到“小烦恼漏洞”的光荣级别。然而，有时，当星星恰好对齐时，一个漏洞会以真正辉煌的方式显现出来。当我所说的“辉煌”时，我的意思是“完全具有破坏性和灵魂毁灭性”。当这些漏洞存在于操作系统（和关键组件）本身中时，它们会更加隐蔽。

一些内核开发人员最近一直在努力解决最近在 Intel 硬件中发现的大规模、可怕的、长期的安全漏洞。在此过程中，出现了一些关于编码实践的有趣评论。

不要用马虎的脚本暴露您的系统！

2018 年 1 月 13 日上午 8:07，夏威夷发布了紧急警报。消息全文是：“弹道导弹威胁正在逼近夏威夷。立即寻找掩体。这不是演习。” 虽然这条消息——出现在全州智能手机上——确实不是演习……但它也不是真正的威胁。没有导弹呼啸着穿过大气层飞向夏威夷。事实证明，有人只是从设计非常糟糕的用户界面中点击了错误的选项，并发送了虚假的（但看起来非常真实的）紧急警报。

了解尖端的自由软件 Heads 项目如何检测 BIOS 和内核篡改，所有密钥都在您的控制之下。最早的计算机病毒之一攻击了引导扇区——硬盘驱动器开头的一段代码，位于主引导记录中，它允许您启动进入操作系统。这样做的原因与隐蔽性和持久性有关。如果用户重新安装操作系统，文件系统本身的病毒将被擦除，但如果他们没有在重新安装过程中擦除引导扇区，则引导扇区病毒可能会停留并重新感染操作系统。

最近的 IDC InfoBrief 认定 Linux 是全球唯一增长的终端操作系统。虽然 Windows 市场份额保持平稳，在 2015 年和 2017 年均为 39%，但 Linux 的市场份额已从 2015 年的 30% 增长到 2017 年的 35%，遍布全球。而且这种趋势正在加速。

给出旅行建议是一回事；遵循它又是另一回事。在之前的文章中，我写过当您随叫随到时如何为假期或其他旅行做准备。而且，我刚从一个假期回来，在那里我将其中一些想法付诸实践，所以我想我会写一篇后续文章，并就我推荐的内容、我实际做了什么以及这一切是如何运作的给出一些具体说明。