㈠ linux下的網路安全與windows下的網路安全作比較
Linux的操作比較復雜,windows的比Linux較簡單.
Linux速度很快,安全性比windows好
但是有很多軟體只能在windows里運行
Linux適用在網路方面.
和Linux一樣,Windows系列是完全的多任務操作系統。它們支持同樣的用戶介面、網路和安全性。但是,Linux和Windows的真正區別在於,Linux事實上是Unix的一種版本,而且來自Unix的貢獻非常巨大。是什麼使得Unix如此重要?不僅在於對多用戶機器來說,Unix是最流行的操作系統,而且在於它是免費軟體的基礎。在Internet上,大量免費軟體都是針對Unix系統編寫的。由於有眾多的Unix廠商,所以Unix也有許多實現方法。沒有一個單獨的組織負責Unix的分發。現在,存在一股巨大的力量推動Unix社團以開放系統的形式走向標准化。另一方面Windows系列是專用系統,由開發操作系統的公司控制介面和設計。在這個意義上這種公司利潤很高,因為它對程序設計和用戶介面設計建立了嚴格的標准,和那些開放系統社團完全不一樣。一些組織正在試圖完成標准化Unix程序設計介面的任務。特別要指出的是,Linux完全兼容POSIX.1標准。
Linux與Unix的區別
某些PC機的Unix和Linux在實現方面相類似。幾乎所有的商業Unix版本都基本支持同樣的軟體、程序設計環境和網路特性。然而,Linux和Unix的商業版本依然存在許多差別。Linux支持的硬體范圍和商業Unix不一樣。一般來說,商業Unix支持的硬體多一些,可是Linux支持的硬體也在不斷擴大。突出的是,Linux至少和商用Unix一樣穩定。對許多用戶來說,最重要的因素是價格。Linux是免費軟體,用戶可以從Internet網上下載。如果上網不方便,可以很便宜地通過郵購得到Linux的磁碟或CD-ROM。當然也可以直接從朋友那裡得到。商業Unix的價值不應被貶低。除了軟體本身的價格外,用戶還需支付文檔、售後支持和質保費。對於較大的機構,這些都很重要,但是PC機用戶也許從中得不到什麼好處。許多商業公司和大學等單位已經發現,在實驗室用廉價的PC機運行Linux比用工作站運行商業Unix還好。Linux可以在PC機上提供工作站的功能,而PC機的價格是工作站的幾分之一。也有一些針對PC機的便宜的Unix,其中最有名的是386BSD。在許多方面,386BSD軟體包和Linux兼容,但Linux更適合用戶的需求。最顯著的是,Linux的開發是開放的,任何志願者都可以對開發過程做出貢獻。相比之下,386BSD是由封閉的團隊開發的。正是這樣,這兩種產品存在著嚴重的概念上和設計上的差別:Linux的目標是從頭開始開發一個完整的Unix系統;386BSD的目標則是對現有的BSD做些修改,以適合80386系統。
Linux與其他操作系統的區別
Linux可以與MS-DOS、OS/2、Windows等其他操作系統共存於同一台機器上。它們均為操作系統,具有一些共性,但是互相之間各有特色,有所區別。
目前運行在PC機上的操作系統主要有Microsoft的MS-DOS、Windows、Windows NT、IBM的OS/2等。早期的PC機用戶普遍使用MS-DOS,因為這種操作系統對機器的硬體配置要求不高,而隨著計算機硬體技術的飛速發展,硬體設備價格越來越低,人們可以相對容易地提高計算機的硬體配置,於是開始使用Windows、Windows
NT等具有圖形界面的操作系統。Linux是新近被人們所關注的操作系統,它正在逐漸為PC機的用戶所接受。那麼,Linux與其他操作系統的主要區別是什麼呢?下面從兩個方面加以論述。
首先看一下Linux與MS-DOS之間的區別.在同一系統上運行Linux和MS-DOS已很普遍,就發揮處理器功能來說,MS-DOS沒有完全實現x86處理器的功能,而Linux完全在處理器保護模式下運行,並且開發了處理器的所有特性。Linux可以直接訪問計算機內的所有可用內存,提供完整的Unix介面。而MS-DOS只支持部分Unix的介面。
就使用費用而言,Linux和MS-DOS是兩種完全不同的實體。與其他商業操作系統相比,MS-DOS價格比較便宜,而且在PC機用戶中有很大的佔有率,任何其他PC機操作系統都很難達到MS-DOS的普及程度,因為其他操作系統的費用對大多數PC機用戶來說都是一個不小的負擔。Linux是免費的,用戶可以從internet上或者其他途徑獲得它的版本,而且可以任意使用,不用考慮費用問題。
就操作系統的功能來說,MS-DOS是單任務的操作系統,一旦用戶運行了一個MS-DOS的應用程序,它就獨佔了系統的資源,用戶不可能再同時運行其他應用程序。而Linux是多任務的操作系統,用戶可以同時運行多個應用程序。
再看一下Linux與OS/2、Windows、Windows NT之間的區別。
從發展的背景看,Linux與其他操作系統的區別是,Linux是從一個比較成熟的操作系統發展而來的,而其他操作系統,如Windows NT等,都是自成體系,無對應的相依託的操作系統。這一區別使得Linux的用戶能大大地從Unix團體貢獻中獲利。因為Unix是世界上使用最普遍、發展最成熟的操作系統之一,它是七十年代中期發展起來的微機和巨型機的多任務系統,雖然有時介面比較混亂,並缺少相對集中的標准,但還是發展壯大成為了最廣泛使用的操作系統之一。無論是Unix的作者還是Unix的用戶,都認為只有Unix才是一個真正的操作系統,許多計算機系統(從個人計算機到超級計算機)都存在Unix版本,Unix的用戶可以從很多方面得到支持和幫助。因此,Linux做為Unix的一個克隆,同樣會得到相應的支持和幫助,直接擁有Unix在用戶中建立的牢固的地位。
從使用費用上看,Linux與其他操作系統的區別在於Linux是一種開放、免費的操作系統,而其他操作系統都是封閉的系統,需要有償使用。這一區別使得我們能夠不用花錢就能得到很多Linux的版本以及為其開發的應用軟體。當我們訪問Internet時,會發現幾乎所有可用的自由軟體都能夠運行在Linux系統上。有來自很多軟體商的多種Unix實現,Unix的開發、發展商以開放系統的方式推動其標准化,但卻沒有一個公司來控制這種設計。因此,任何一個軟體商(或開拓者)都能在某種Unix實現中實現這些標准。OS/2和Windows
NT等操作系統是具有版權的產品,其介面和設計均由某一公司控制,而且只有這些公司才有權實現其設計,它們是在封閉的環境下發展的。
㈡ 為什麼網路安全要學 Linux拜託各位大神
Linux操作系統也是自由軟體和開放源代碼發展中最著名的例子。Linux是一套免費使用和自由傳播的類Unix操作系統,它主要用於基於x86系列CPU的計算機上。這個系統是由世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟體的版權制約的、全世界都能自由使用的Unix兼容產品。 傳統上有以Linux為基礎的「LAMP(Linux, Apache, MySQL, Perl/PHP/Python的組合)」經典技術組合,提供了包括操作系統、資料庫、網站伺服器、動態網頁的一整套網站架設支持。而面向更大規模級別的領域中,如資料庫中的Oracle、DB2、PostgreSQL,以及用於Apache的Tomcat JSP等都已經在Linux上有了很好的應用樣本。除了已在開發者群體中廣泛流行,它亦是現時提供網站務供應商最常使用的平台 已經發展成了一個遵循POSIX標準的純32位多工操作系統,64位版本也在開發之中。Linux可以兼容大部分的UNIX系統,很多UNIX的程序不需要改動,或者很少的改變就可以運行於Linux環境;內置TCP/IP協議,可以直接連入Internet,作為伺服器或者終端使用;內置JAVA解釋器,可直接運行JAVA源代碼;具備程序語言開發、文字編輯和排版、資料庫處理等能力;提供X Window的圖形界面;主要用於x86系列的個人電腦,也有其它不同硬體平台的版本,支持現在流行的所有硬體設備。就性能上來說,它並不弱於Windows甚至UNIX,而且靠模擬程序還可以運行Windows應用程序。它有成千上萬的各類應用軟體,並不輸於Windows的應用軟體數量,其中也有商業公司開發的贏利性的軟體。最可貴的是:它是一個真正的UNIX系統,可以供專業用戶和想學UNIX的人在自己的個人電腦上使用。Linux是一個非常靈活的系統,相對於Windows而言也是一個比較難用的系統,就如同大多數用戶用不慣MacOS的單鍵滑鼠一樣。 想要對Linux輕車熟路,你必須懂得一些相關知識,軟、硬體的配置,最好還懂點程序,因為沒有人有義務為您提供技術支援,除了和其它用戶交流之外 ,您必須要自己解決問題。當然,如果您只是作為日常應用,就不需要那麼復雜啦,Linux一樣會為您提供完美的操作環境,你所要做的就是改變使用習慣和成見。 早期的操作系統是沒有圖形界面的,自從Apple於1984年推出System 1.0開始,個人電腦才實現了真正的GUI(Graphics User Interface,圖形用戶界面),從此電腦變得更加具有親和力,也更加易於使用。Windows的圖形化開始於Windows 3.1/3.2,直到Windows 95的出現才標志著多媒體時間的到來,從此計算機變得能說會唱起來。Linux始於UNIX,卻青出於藍勝於藍,同樣擁有著不俗的圖形用戶界面,性能更穩定,也更漂亮,可以和世界上曾經出現過的,最美麗的操作系統媲美!不同於現在的XP,Linux的圖形界面是基於Console之上的,類似於Windows 95架於DOS之上,Linux下實現圖形界面的是X Window系統(區別於MS的Windows)。 X Window是一套用於UNIX的具有極大可攜性、對彩色掌握的多樣性和網路之間的操作透明性的健在式處理窗口系統。它和微軟的Windows的工作原理並不相同,不過兩者都使用圖形界面和窗口技術,從外表看來有那麼一點點相似,但又存在著巨大的不同,實際上X Window的界面更加多樣化,也更漂亮,且高效快捷。就Windows對於DOS的地位一樣,X Window一改UNIX/Linux單調的文本界面,提供了一個友善的圖形用戶界面(GUI)。 1984年在麻省理工學院(MIT)電腦科學研究室工作的Bob Scheifler正在發展分布式系統,DEC公司的Jim Gettys也在MIT進行A-thena計劃的一部分。兩者都需要一套在UNIX系統上使用的圖形界面,因此兩者開始合作研製X Window。1987年,MIT發布了第11個版本的X Window,並成立了非贏利性組織「X協會」來發展及控制X Window標准。所以現在的X Window並不完全是一個軟體,而是一個協定,定義了一個系統所必須具備的功能。任何系統能滿足這個協定及符合X協會其它的規范,便可稱為X Window,它的源代碼公開。因為X Window具有強大的與設備無關結構性,它提供了一組網路通信協議,任何硬體只要提供X協定,便可以執行應用程序顯示一群包含圖文的窗口,不需要重新編譯,這種與設備無關的特性只要是根據X Window標准所開發的應用程序均可在不同的環境下作用,這就大大減少了跨越不同平台之間的編譯工作,應用程序更加具有可移植性。 Linux上最常用的X Window是Xfree86,它是MIT的X11R5的移植版,使用Openlook窗口管理系統,所以Xfree86是免費的。Xfree86支持現行所有的PC顯示卡,但不一定支持它們的Windows加速特性,比如DirectX 9。
㈢ linux網路安全是什麼
Linux網路安全的大概學習內容要掌握這么多吧:網路服務:
.網路概述、 TCP/IP 基礎 .Linux 下基本網路配置與管理 .Dhcp 伺服器的原理、配置與管理 .DNS 伺服器的原理、配置與管理 .Linux 與 Windows 互聯技術 samba 伺服器的配置與管理 .Unix/Linux 經典文件服務 nfs 伺服器的配置與管理 .Vsftp 伺服器的原理、配置與管理 .Xinetd 超級守護進程服務原理、配置與管理 .WWW 伺服器原理、配置與管理
安全管理:
.本機安全 .文件系統的安全 .網路伺服器的安全策(dns,dhcp,apache,vsftp,nfs 等) .Linux 網路防火牆的搭建 iptables .配置安全的透明代理伺服器iptables+squid .安裝配置 OpenSSH 伺服器 .Linux 網路環境下的 VPN 構建 .Linux 下的網路掃描和嗅探 nmap sniffer .Linux 下的網路流量監控 cati .Linux 系統日誌服務管理 syslog
會了以上的那些,估計網路安全方面就沒問題了。
㈣ 網路安全和LINUX,我該選哪個大家給一個建議
建議學linux,linux現在比較的熱門,並且現在也緊缺linux的人才
不要怕左怕右的,別人的的建議也只能拿來考慮,凡事要自己好好想想,也要注意自己的特長和愛好了
㈤ 網路安全方向學linux學到什麼程度和學哪個方面的
學好Linux的基本命令操作和網站架設部分就可以了,基本命令操作一定要精通,因為有許多Linux上的網路安全工具都是命令行界面的,需要經常在終端命令行操作;網站架設需要精通原理、還有網站管理、日常維護,因為網站滲透測試需要知道這些知識,以Linux為平台架設的網站是很多的。
㈥ 如何保證Linux伺服器的網路安全
1.對指定網站禁止訪問
iptables支持試用域名和IP地址兩種方法來指定禁止的網站。如果使用域名的方式指定網站,iptables會通過DNS伺服器查詢該域名對應的所有IP地址,並將這些IP地址加入到規則中,所以使用域名指定網站時,iptables的執行速度會稍慢。
命令如下:
[root@localhost ~]# iptables -I FORWARD -d www.xxx.com -j DROP
[root@localhost ~]# iptables -t filter -L FORWARD
2.禁止linux伺服器上網
操作命令如下:
[root@localhost ~]# iptables -I FORWARD -s 192.168.1.102 -j DROP
[root@localhost ~]# iptables -t filter -L FORWARD
3.禁止Linux伺服器訪問某些訪問
埠是TCP/IP使用「埠」來區分系統中的不同的服務,如web服務使用的是TCP 80埠,FTP服務使用的是TCP 21埠等。由於不同的服務會使用不同的埠與外界進行通信,因此要禁止linux伺服器上的某些訪問,只要禁止服務使用的埠號即可。
操作命令如下:
[root@localhost ~]# iptables -I FROWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP
[root@localhost ~]# iptables -t filter -L FROWARD
㈦ 為什麼網路安全需要學習linux
既然是網路安全,你應該知道現在做伺服器最好的系統是什麼。當然不是windows,所以要學習linux,它採用的核心是開源的。而且安全性比windows強多了。
學習linux代碼就會更好的學習linux啊,然後更好的學習網路安全啊。
㈧ Linux與Windows的安全性比較
安全問題對於it管理員來說是需要長期關注的。主管們需要一套框架來對操作系統的安全性進行合理的評估,包括:基本安全、網路安全和協議,應用協議、發布與操作、確信度、可信計算、開放標准。在本文中,我們將按照這七個類別比較微軟windows和linux的安全性。最終的定性結論是:目前為止,linux提供了相對於windows更好的安全性能,只有一個方面例外(確信度)。 無論按照什麼標准對windows和linux進行評估,都存在一定的問題:每個操作系統都不止一個版本。微軟的操作系統有windows98、windows nt、 windows 2000、 windows 2003 server和windows ce,而linux的發行版由於內核(基於2.2、2.4、2.6)的不同和軟體包的不同也有較大的差異。我們本文所使用的操作系統,都是目前的技術而不是那些"古老"的解決方案。
用戶需要記住:linux和windows在設計上就存在哲學性的區別。windows操作系統傾向於將更多的功能集成到操作系統內部,並將程序與內核相結合;而linux不同於windows,它的內核空間與用戶空間有明顯的界限。根據設計架構的不同,兩者都可以使操作系統更加安全。
linux和windows安全性的基本改變
對於用戶來說,linux和windows的不斷更新引發了兩者之間的競爭。用戶可以有自己喜歡的系統,同時也在關注競爭的發展。微軟的主動性似乎更高一些――這是由於業界"冷嘲熱諷"的"激勵"與linux的不斷發展。微軟將在下幾個月對windows安全進行改觀,屆時微軟會發布windowsxp的servicepack2。這一服務包增強了windows的安全性,關閉了原先默認開放的許多服務,也提供了新的補丁管理工具,例如:為了避免受到過多無用的信息,警告服務和信使服務都被關閉。大多數情況下,關閉這些特性對於增強系統安全性是有好處的,不過很難在安全性與軟體的功能性、靈活性之間作出折衷。
最顯著的表現是:微軟更加關注改進可用性的同時增強系統的安全性。比如:2003年許多針對微軟的漏洞攻擊程序都使用可執行文件作為電子郵件的附件(例如mydoom)。service pack2包括一個附件執行服務,為outlook/exchange、 windows messenger和internetexplorer提供了統一的環境。這樣就能降低用戶運行可執行文件時感染病毒或者蠕蟲的威脅性。另外,禁止數據頁的可執行性也會限制潛在的緩沖區溢出的威脅。不過,微軟在servicepack2中並沒有修改windows有問題的架構以及安全傳輸的部分,而是將這部分重擔交給了用戶。
微軟的重點顯然是支持應用程序的安全性。service pack2中增強的許多方面都是以outlook/exchange和internet explorer作為對象的。例如:internetexplorer中有一個智能的mime類型檢查,會對目標的內容類型進行檢查,用戶可以獲悉該內容中是否存在潛在的有害程序。不過這一軟體是不是能將病毒與同事的電子數據表區分開來呢?
servicepack2的另一個新特性是能夠卸載瀏覽器的多餘插件,這需要終端用戶檢查並判斷需要卸載哪些插件。outlook/exchange可以預覽電子郵件消息,因此用戶可以在打開之前就將電子郵件刪除。另一個應用安全的增強,防火牆在網路協議棧之前啟動。對於軟體開發者來說,遠方過程調用中許可權的改變,使得安全性差的代碼難以工作正常。
servicepack2也為windows用戶提供了許多華麗的新特性,但是問題仍然存在:這些特性會不會對管理員甚至是終端用戶造成負擔?是不是在增加了windows操作系統代碼安全性的同時讓系統變得更加復雜?
開放源代碼、共享源代碼
微軟的共享源代碼計劃政策屬於"可看但不可修改",例外的情況是windowsce共享源代碼許可證計劃。對於公司來說,可以將基於windowsce的設備和解決方案推向市場。這是微軟共享源代碼計劃下,源設備製造商(oem)、半導體提供商、系統集成商可以完全訪問windowsce源代碼的唯一項目。所有許可證持有者都有對源代碼的完全訪問權,當然可以修改代碼,但只有oem才能發布對基於wince設備的修改。所有其他的共享源代碼許可證持有者,如果要訪問該項目不允許的源代碼,需要向redmond.wash的微軟總部請示。
某些用戶認為共享源代碼計劃對於調試程序會有幫助,微軟要求編譯的時候必須在微軟總部,這不得不說是一個很大的限制。盡管微軟想盡力增加透明,如果無法編譯,就很難確定源代碼在真實的it環境中是否能正常工作。限制用戶修改並編譯windows的源代碼,降低了人們訪問windows共享源代碼並尋找安全漏洞的熱情。
數據中心和桌面下linux的安全收益
在未來的12個月里,linux將加強在數據中心的份額,並試圖沖擊微軟在桌面上的壟斷。這很大程度上是受益於linux2.6版內核的新特性與新功能。有了linuxv2.6,安全框架現在已經模塊化了。在這種模型下,linux內核的所有方面都提供了細粒度的用戶訪問控制,而以前的版本的內核允許超級用戶完全控制。現在的實現仍然支持root完全訪問系統,但完全可以創建一個不遵循該模型的liinux系統。
linuxv2.6內核的一個主要變化,就是新增的linux安全模塊(lsm),用戶不需要打內核補丁就能為linux增加更多的安全機制。新版內核,在lsm上建立了多個訪問控制機制,其中包括美國國安局(nsa)的securiyenhancedlinux(selinux)。由於國安局對操作系統安全與強制訪問控制的興趣,產生了selinux。國安局的研究人員正在開發linux的安全模塊,可以支持2.6內核的類型加強、基於腳色的訪問控制、多層次安全。selinux使用了命為"域類型強制"的安全模型,可以將應用程序互相隔離,同時也與基本的操作系統隔離,從而限制入侵後程序或者網路服務造成的影響。
linux的2.6內核中已經加入了對selinux的細粒度布爾值標簽的支持,其他的廠商也開始利用國安局的selinux。例如,immunix提供了一些列產品,包括stackguard和子域stackguard模塊,可以配置進程只使用某些系統調用。redhat聲稱selinux將在redhat企業伺服器4.0的安全架構上起重要的作用。
今天,linux的內核中已經有一個功能強大、靈活的強制訪問控制子系統。這個系統強制隔離有機密和完整性要求的數據,因此任何潛在的破壞,即時是由超級用戶進程所造成的,都被linux系統限制起來了。
linuxv2.6還提供了對加密安全的支持,包括了ipsec使用的加密api。這樣,在網路和存儲加密時就可以使用多種演算法(例如:sha-1、des、三重des、md4、hmac、ede、和blowfish)。linux對ipsecipv4和ipv6協議的支持是一個很大的進步。由於安全抽象到了協議層,用戶程序對潛在攻擊程序的脆弱性有所降低。密碼加密模塊目前還不是linux內核的一部分,如果linux真的實現了這樣的特性,就可以阻止未簽名的模塊被內核訪問。
現在仍然困擾windows用戶的一個問題就是緩沖區溢出。linux用戶從2.6內核開始就會收益於exec-shield補丁。exec-shield可以阻止許多漏洞攻擊程序覆蓋數據結構並向這些結構中插入代碼的企圖。由於不需要重新編譯應用程序就能使exec-shield補丁奏效,實現起來很方便。
另外,2.6內核中的搶占式內核,也減少了延遲,使得linux不但可以應用到數據中心,甚至可以在有軟實時要求的應用程序使用。許多linux用戶使用的是硬體廠商和系統提供商的不開源的驅動程序(二進制模塊)。問題在於:雖然添加這些驅動和模塊有用,對於linux系統並不一定有益。例如,一個未開源的驅動模塊有可能控制系統調用並修改系統調用表。2.6的內核提供了特殊的保護措施,可以對限制未開源驅動或者模塊對內核的訪問。這一特性增加了穩定性,但從安全形度並沒有增加新的限制,也不能阻止黑客編寫惡意模塊。
許多linux用戶來說,最有創造性的特性就是用戶模式linux了(uml),uml是linux內核的一個補丁,可以允許可執行二進制文件在linux宿主主機上編譯並運行。使用uml有很多好處,最有用的特性就是虛擬機。由於對uml的操作不會影響宿主主機,可以把它作為測試軟體、運行不穩定發行版、檢查有威脅活動的平台。uml最終會創建一個安全架構上完全虛擬的環境。
linux與windows安全性能的重要結論
對操作系統的安全性進行定性分析,很容易包含主觀意見,得到的結論會由於過去和現在的經驗而有很大的不同。本文的目標是給用戶提供一個框架,讓他們更多的理解windows和linux的安全性能。下面的分析並不全面,只是終端用戶進行評估的起點。linux和windows在技術上不斷進步,究竟哪個系統更安全的結論也會不斷變化。本文分析的結果:linux提供了比windows更好的安全特性。
基本安全
微軟和linux都提供了對驗證、訪問控制、記帳/日至、受控的訪問保護實體、加密的支持。不過linux的表現更好一些,因為linux還提供了linux安全模塊、selinux和winbind。linux用戶不需對內核打補丁就能增加額外的安全機制。
linux在lsm之上構建了多種訪問控制機制,例如:為應用程序建立了單獨的空間,使它們之間相互分離,也與基本的操作系統隔離,這樣即使應用程序出現了安全問題也不會影響操作系統。linux的基本安全也可以通過應用程序增強,比如tripwire(可以定期對系統進行關鍵文件的完整性檢查,如果文件的內容或者屬性有變化就通知系統管理員)。
windows的限制在於基本安全是依靠mscapi的,在代碼簽名時信任多個密鑰。微軟的模型重點在於可以同時對一個產品使用弱加密或者強加密。盡管模塊不是以相同的密鑰進行簽名,mscapi卻信任許多根驗證機構,代碼簽名也信任多個密鑰。因此只要有一個密鑰被泄露就會使整個系統異常脆弱。密鑰泄漏的情況:授權的代碼簽名者不小心紕漏了自己的私鑰,或者簽名機構錯誤的簽發了一個證書。這些情況曾經發生,有一次verisign錯誤的以微軟的名義簽發了兩個證書,並將這些證書的控制權交給了未授權的個人。
網路安全與協議
linux與windows對網路安全和協議的支持都很不錯。兩者都支持ipsec,這是一個運行於ip層的開放的基於加密的保護方式。ipsec能夠識別終端主機,同時能夠對網路傳輸數據和加密數據的過程中的修改作出判斷。linux下使用openssh、openssl和openldap,分別對應微軟系統下閉合源碼的ssh、ssl和ldap。
應用安全
由於微軟iis和exchange/outlook不斷出現的安全問題,linux顯得更勝一籌。apache和postfix都是跨平台的應用程序,比微軟的相應產品更加安全。由於linux有內建的防火牆使得其安全性有所增強,snort也是一個優秀的入侵檢測系統。關於基於x86系統的linux內核,一個很重要的特性就是ingomolnar的exec-shield,可以保護系統不受緩沖區或者函數指針溢出的攻擊,從而對那些通過覆蓋數據結果或者插入代碼的攻擊程序有所防護。exec-shield補丁使攻擊者很難實現基於shell-code的攻擊程序,因為exec-shield的實現對於應用程序是透明的,因此不需要應用程序的重新編譯。
微軟正在大刀闊斧的重新設計產品的安全架構,並為已安裝的系統提供補丁。不過舊版本的windows產品仍然存在安全問題,這使得任務變得復雜。許多微軟用戶正面臨安全威脅,而補丁在發布之前必須做好文檔。另外,微軟傾向於將應用程序的數據和程序代碼混合在一起,比如activex,這使得系統外的不可信數據也能被使用,甚至是利用不可信數據執行任意代碼。某些情況下,windows甚至允許外部系統提供數據簽名的代碼,這就意味著本地的系統管理員也不能審查代碼,不過他仍然知道是誰對代碼簽的名。
在.net框架下,微軟應用程序的安全性有所改進。當然,對於那些異構平台,例如linux、windows、unix尤其是建立在java平台下的應用程序,微軟的產品是有很大局限性的。
分發和操作
關於分發和操作,linux與微軟的側重點不同,linux下大部分的管理都通過命令行介面。linux的發行商也提供了各種安裝和配置工具,例如:up2date、yast2和webmin。bastille linux是一個支持red hat、debian、mandrake、suse和turbolinux的加固工具。相比之下,windows的系統管理員使用簡單易用的gui工具,配置的時候也很容易出錯誤。盡管一些人認為,一個周之內將任何人都可能成為windows的系統管理員,問題是他們到底對管理了解多少?微軟的安全問題,絕大多數都是由於發布與操作時的拙劣配置。windows自帶安裝和配置工具,微軟也為加固域控制器、架構伺服器、文件伺服器、列印伺服器、ias伺服器、證書伺服器和堡壘主機提供了向導,不過加固架構與加固操作系統還是有區別的。
確信度
定義操作系統確信度的標準是公共標准(cc),這是iso標准(iso 15408)。關於確信度的等級有一個層次結構 ―― 從eal1到eal7。只有在特定的軟體、硬體和系統配置下,公共標準的評估才是有效的。windows的eal比linux要高,達到了eal4,而linux目前只達到了eal3。suse正計劃在年底達到eal4。政府機構大部分都需要cc的確信度。即使只有政府客戶(甚至特指美國國防部)才需要確信度,商業產品滿足這一要求也是一件好事。不過大部分的用戶都不需要達到國防部的標准。
可信計算
可信計算是一種架構,可以避免對應用程序的修改,與廠商的通信也是安全的。許多廠商,比如intel、微軟和ibm,都在歡迎這項新興的技術。目前,這一功能只供展示,現實中並沒有可用的系統,因此linux和windows都不能勝任。微軟的可信計算與數字權力管理有關,而開源社區目前沒有可信計算的項目。
開放標准
linux要優於windows,因為它支持所有的開放標准(盡管windows也支持許多相同的開放便准,如ipsec、ike和ipv6,也樂意擴展標准)。對於使用異構系統並有互操作需求的公司,"標准"如果代有私有代碼,就使得對缺陷的檢測和錯誤的修正更困難、耗費的時間也更多。一個例子就是微軟對kerberos標准協議的擴展。微軟提供了對kerberos票據的授權功能,盡管kerberos一開始也是按照這個目的設計的,這一功能卻一直沒有使用。微軟擴展了kerberos標准,在處理過程中也期望其它程序共享票據的授權數據欄位。因此,微軟的kerberos版本與標准不能完全交互。it經理會發現:在一個異構的it環境中,使用微軟kerberos會使得整個環境難以管理,它們需要完全的windows it架構。
開源
如果安全操作系統的標准就是開源,那麼linux顯然要優於windows。微軟的共享源代碼計劃就是為了滿足用戶對源代碼的需要。不過,該計劃的大部分內容都是"可看但不可修改"的情況。俄羅斯、英國、中國和北約參與了微軟的政府安全計劃。盡管該計劃的目標是增加透明度和加強合作,如果某組織需要訪問微軟的源代碼,需要遵守各種各樣的要求。例如:並不是所有的windows源代碼都可以在線查看,因此如果用戶需要編譯並測試應用程序,必須親自訪問微軟的總部。
推薦
linux和windows的安全性必定會引起持續的爭論,到底是開源的操作系統好,還是封閉源代碼的操作系統好?業界的邏輯是:基於開放標准與開放源代碼的操作系統,能提供更好的互用性,更好的錯誤發現和修正機制,這要比通過隱藏來達到安全的模型優秀。開源也促使linux的發行提供商對生產過程完全透明。每一步對於用戶來說都是可再現的,因此能夠逐漸的增強安全。而windows的源代碼並不易獲得,因此不能提供等價的透明。
linux提供了至少不遜於windows的安全性能。linux系統的安全取決於對linux發行版的選擇、使用的內核版本、實現與支持系統的it員工的水平。一旦你選定了產品,實現並維護操作系統的安全就完全依靠it員工了,你需要對他們進行培訓,讓他們掌握足夠的專業技能,完成分發、管理和故障排除的任務。要讓it經理和系統管理員明白如何應用這些慣例。
我們推薦各種機構首先了解自己的功能需要,然後熟悉一下操作系統關鍵性的安全性能,這樣就能減少使用操作系統的風險,確保一致性。
如果你正考慮移植到另一個操作系統或者是升級目前的產品,你需要按照安全性能的要求來選擇操作系統的環境。把你的商業需要與對操作系統安全性的理解相結合,就能在實現功能的同時,兼顧一致性與風險最小化。
表一:linux和windows操作系統重要的安全特性
分類
特性
linux
windows
定性得分
基本安全
驗證、訪問控制加密、記帳/日至
可插入的認證模塊、插件模塊、kerberos、pki、winbind、 acls、 lsm、selinux、 受控的訪問保護實體檢測、內核加密
kerberos、pki、 訪問控制列表、受控的訪問保護實體檢測、微軟的應用程序加密程序介面。
linux 更加出色
網路安全與協議
驗證、層、網路層
openssl、open ssh、openldap、 ipsec
ssl、 ssh、 ldap、 ad、 ipsec
兩者都很不錯
應用安全
防病毒、 防火牆、 入侵檢測軟體、 web伺服器、 email、 智能卡支持
openav、 panda、 trendmicro、 內核內建的防火牆功能、 snort、 apache、 sendmail、 postfix、 pkcs 11、 exec-shield
mcafee、 symantec、 check point、 iis、 exchange/outlook、 pcks 11
linux略勝一籌
分發與操作
安裝、 配置、 加固、 管理、 漏洞掃描器
安裝與配置工具、 bastille、大部分的管理通過命令行完成、 nessus、 發行版相關的up2date、 yast、 webmin
windows自帶的安裝和配置工具、沒有特定的加固工具、 管理gui、 使用默認安裝的配置。
兩者都很不錯
確信度
常見的公共標准證書、 缺陷處理
linux達到了 eal3,有較好的缺陷處理能力
windows 達到了 eal4,有較好的缺陷處理能力
windows更加出色
可信計算
可信平台的模塊、可信計算軟體棧、工具、驗證
由ibm開發的基於可信平台模塊的開源驅動程序、可信計算組的軟體棧可望在2005年推出
下一代安全計算基礎、有可能在2006年的longhorn中出現。
兩者都不夠出色
開放標准
ipsec、 posix、 傳輸層安全、 常見標准
linux 遵循所有的開放標准
microsoft也參與了開放標准,但仍有一些私有標准。
linux更加出色