㈠ linux下的网络安全与windows下的网络安全作比较
Linux的操作比较复杂,windows的比Linux较简单.
Linux速度很快,安全性比windows好
但是有很多软件只能在windows里运行
Linux适用在网络方面.
和Linux一样,Windows系列是完全的多任务操作系统。它们支持同样的用户接口、网络和安全性。但是,Linux和Windows的真正区别在于,Linux事实上是Unix的一种版本,而且来自Unix的贡献非常巨大。是什么使得Unix如此重要?不仅在于对多用户机器来说,Unix是最流行的操作系统,而且在于它是免费软件的基础。在Internet上,大量免费软件都是针对Unix系统编写的。由于有众多的Unix厂商,所以Unix也有许多实现方法。没有一个单独的组织负责Unix的分发。现在,存在一股巨大的力量推动Unix社团以开放系统的形式走向标准化。另一方面Windows系列是专用系统,由开发操作系统的公司控制接口和设计。在这个意义上这种公司利润很高,因为它对程序设计和用户接口设计建立了严格的标准,和那些开放系统社团完全不一样。一些组织正在试图完成标准化Unix程序设计接口的任务。特别要指出的是,Linux完全兼容POSIX.1标准。
Linux与Unix的区别
某些PC机的Unix和Linux在实现方面相类似。几乎所有的商业Unix版本都基本支持同样的软件、程序设计环境和网络特性。然而,Linux和Unix的商业版本依然存在许多差别。Linux支持的硬件范围和商业Unix不一样。一般来说,商业Unix支持的硬件多一些,可是Linux支持的硬件也在不断扩大。突出的是,Linux至少和商用Unix一样稳定。对许多用户来说,最重要的因素是价格。Linux是免费软件,用户可以从Internet网上下载。如果上网不方便,可以很便宜地通过邮购得到Linux的磁盘或CD-ROM。当然也可以直接从朋友那里得到。商业Unix的价值不应被贬低。除了软件本身的价格外,用户还需支付文档、售后支持和质保费。对于较大的机构,这些都很重要,但是PC机用户也许从中得不到什么好处。许多商业公司和大学等单位已经发现,在实验室用廉价的PC机运行Linux比用工作站运行商业Unix还好。Linux可以在PC机上提供工作站的功能,而PC机的价格是工作站的几分之一。也有一些针对PC机的便宜的Unix,其中最有名的是386BSD。在许多方面,386BSD软件包和Linux兼容,但Linux更适合用户的需求。最显着的是,Linux的开发是开放的,任何志愿者都可以对开发过程做出贡献。相比之下,386BSD是由封闭的团队开发的。正是这样,这两种产品存在着严重的概念上和设计上的差别:Linux的目标是从头开始开发一个完整的Unix系统;386BSD的目标则是对现有的BSD做些修改,以适合80386系统。
Linux与其他操作系统的区别
Linux可以与MS-DOS、OS/2、Windows等其他操作系统共存于同一台机器上。它们均为操作系统,具有一些共性,但是互相之间各有特色,有所区别。
目前运行在PC机上的操作系统主要有Microsoft的MS-DOS、Windows、Windows NT、IBM的OS/2等。早期的PC机用户普遍使用MS-DOS,因为这种操作系统对机器的硬件配置要求不高,而随着计算机硬件技术的飞速发展,硬件设备价格越来越低,人们可以相对容易地提高计算机的硬件配置,于是开始使用Windows、Windows
NT等具有图形界面的操作系统。Linux是新近被人们所关注的操作系统,它正在逐渐为PC机的用户所接受。那么,Linux与其他操作系统的主要区别是什么呢?下面从两个方面加以论述。
首先看一下Linux与MS-DOS之间的区别.在同一系统上运行Linux和MS-DOS已很普遍,就发挥处理器功能来说,MS-DOS没有完全实现x86处理器的功能,而Linux完全在处理器保护模式下运行,并且开发了处理器的所有特性。Linux可以直接访问计算机内的所有可用内存,提供完整的Unix接口。而MS-DOS只支持部分Unix的接口。
就使用费用而言,Linux和MS-DOS是两种完全不同的实体。与其他商业操作系统相比,MS-DOS价格比较便宜,而且在PC机用户中有很大的占有率,任何其他PC机操作系统都很难达到MS-DOS的普及程度,因为其他操作系统的费用对大多数PC机用户来说都是一个不小的负担。Linux是免费的,用户可以从internet上或者其他途径获得它的版本,而且可以任意使用,不用考虑费用问题。
就操作系统的功能来说,MS-DOS是单任务的操作系统,一旦用户运行了一个MS-DOS的应用程序,它就独占了系统的资源,用户不可能再同时运行其他应用程序。而Linux是多任务的操作系统,用户可以同时运行多个应用程序。
再看一下Linux与OS/2、Windows、Windows NT之间的区别。
从发展的背景看,Linux与其他操作系统的区别是,Linux是从一个比较成熟的操作系统发展而来的,而其他操作系统,如Windows NT等,都是自成体系,无对应的相依托的操作系统。这一区别使得Linux的用户能大大地从Unix团体贡献中获利。因为Unix是世界上使用最普遍、发展最成熟的操作系统之一,它是七十年代中期发展起来的微机和巨型机的多任务系统,虽然有时接口比较混乱,并缺少相对集中的标准,但还是发展壮大成为了最广泛使用的操作系统之一。无论是Unix的作者还是Unix的用户,都认为只有Unix才是一个真正的操作系统,许多计算机系统(从个人计算机到超级计算机)都存在Unix版本,Unix的用户可以从很多方面得到支持和帮助。因此,Linux做为Unix的一个克隆,同样会得到相应的支持和帮助,直接拥有Unix在用户中建立的牢固的地位。
从使用费用上看,Linux与其他操作系统的区别在于Linux是一种开放、免费的操作系统,而其他操作系统都是封闭的系统,需要有偿使用。这一区别使得我们能够不用花钱就能得到很多Linux的版本以及为其开发的应用软件。当我们访问Internet时,会发现几乎所有可用的自由软件都能够运行在Linux系统上。有来自很多软件商的多种Unix实现,Unix的开发、发展商以开放系统的方式推动其标准化,但却没有一个公司来控制这种设计。因此,任何一个软件商(或开拓者)都能在某种Unix实现中实现这些标准。OS/2和Windows
NT等操作系统是具有版权的产品,其接口和设计均由某一公司控制,而且只有这些公司才有权实现其设计,它们是在封闭的环境下发展的。
㈡ 为什么网络安全要学 Linux拜托各位大神
Linux操作系统也是自由软件和开放源代码发展中最着名的例子。Linux是一套免费使用和自由传播的类Unix操作系统,它主要用于基于x86系列CPU的计算机上。这个系统是由世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。 传统上有以Linux为基础的“LAMP(Linux, Apache, MySQL, Perl/PHP/Python的组合)”经典技术组合,提供了包括操作系统、数据库、网站服务器、动态网页的一整套网站架设支持。而面向更大规模级别的领域中,如数据库中的Oracle、DB2、PostgreSQL,以及用于Apache的Tomcat JSP等都已经在Linux上有了很好的应用样本。除了已在开发者群体中广泛流行,它亦是现时提供网站务供应商最常使用的平台 已经发展成了一个遵循POSIX标准的纯32位多工操作系统,64位版本也在开发之中。Linux可以兼容大部分的UNIX系统,很多UNIX的程序不需要改动,或者很少的改变就可以运行于Linux环境;内置TCP/IP协议,可以直接连入Internet,作为服务器或者终端使用;内置JAVA解释器,可直接运行JAVA源代码;具备程序语言开发、文字编辑和排版、数据库处理等能力;提供X Window的图形界面;主要用于x86系列的个人电脑,也有其它不同硬件平台的版本,支持现在流行的所有硬件设备。就性能上来说,它并不弱于Windows甚至UNIX,而且靠仿真程序还可以运行Windows应用程序。它有成千上万的各类应用软件,并不输于Windows的应用软件数量,其中也有商业公司开发的赢利性的软件。最可贵的是:它是一个真正的UNIX系统,可以供专业用户和想学UNIX的人在自己的个人电脑上使用。Linux是一个非常灵活的系统,相对于Windows而言也是一个比较难用的系统,就如同大多数用户用不惯MacOS的单键鼠标一样。 想要对Linux轻车熟路,你必须懂得一些相关知识,软、硬件的配置,最好还懂点程序,因为没有人有义务为您提供技术支援,除了和其它用户交流之外 ,您必须要自己解决问题。当然,如果您只是作为日常应用,就不需要那么复杂啦,Linux一样会为您提供完美的操作环境,你所要做的就是改变使用习惯和成见。 早期的操作系统是没有图形界面的,自从Apple于1984年推出System 1.0开始,个人电脑才实现了真正的GUI(Graphics User Interface,图形用户界面),从此电脑变得更加具有亲和力,也更加易于使用。Windows的图形化开始于Windows 3.1/3.2,直到Windows 95的出现才标志着多媒体时间的到来,从此计算机变得能说会唱起来。Linux始于UNIX,却青出于蓝胜于蓝,同样拥有着不俗的图形用户界面,性能更稳定,也更漂亮,可以和世界上曾经出现过的,最美丽的操作系统媲美!不同于现在的XP,Linux的图形界面是基于Console之上的,类似于Windows 95架于DOS之上,Linux下实现图形界面的是X Window系统(区别于MS的Windows)。 X Window是一套用于UNIX的具有极大可携性、对彩色掌握的多样性和网络之间的操作透明性的健在式处理窗口系统。它和微软的Windows的工作原理并不相同,不过两者都使用图形界面和窗口技术,从外表看来有那么一点点相似,但又存在着巨大的不同,实际上X Window的界面更加多样化,也更漂亮,且高效快捷。就Windows对于DOS的地位一样,X Window一改UNIX/Linux单调的文本界面,提供了一个友善的图形用户界面(GUI)。 1984年在麻省理工学院(MIT)电脑科学研究室工作的Bob Scheifler正在发展分布式系统,DEC公司的Jim Gettys也在MIT进行A-thena计划的一部分。两者都需要一套在UNIX系统上使用的图形界面,因此两者开始合作研制X Window。1987年,MIT发布了第11个版本的X Window,并成立了非赢利性组织“X协会”来发展及控制X Window标准。所以现在的X Window并不完全是一个软件,而是一个协定,定义了一个系统所必须具备的功能。任何系统能满足这个协定及符合X协会其它的规范,便可称为X Window,它的源代码公开。因为X Window具有强大的与设备无关结构性,它提供了一组网络通信协议,任何硬件只要提供X协定,便可以执行应用程序显示一群包含图文的窗口,不需要重新编译,这种与设备无关的特性只要是根据X Window标准所开发的应用程序均可在不同的环境下作用,这就大大减少了跨越不同平台之间的编译工作,应用程序更加具有可移植性。 Linux上最常用的X Window是Xfree86,它是MIT的X11R5的移植版,使用Openlook窗口管理系统,所以Xfree86是免费的。Xfree86支持现行所有的PC显示卡,但不一定支持它们的Windows加速特性,比如DirectX 9。
㈢ linux网络安全是什么
Linux网络安全的大概学习内容要掌握这么多吧:网络服务:
.网络概述、 TCP/IP 基础 .Linux 下基本网络配置与管理 .Dhcp 服务器的原理、配置与管理 .DNS 服务器的原理、配置与管理 .Linux 与 Windows 互联技术 samba 服务器的配置与管理 .Unix/Linux 经典文件服务 nfs 服务器的配置与管理 .Vsftp 服务器的原理、配置与管理 .Xinetd 超级守护进程服务原理、配置与管理 .WWW 服务器原理、配置与管理
安全管理:
.本机安全 .文件系统的安全 .网络服务器的安全策(dns,dhcp,apache,vsftp,nfs 等) .Linux 网络防火墙的搭建 iptables .配置安全的透明代理服务器iptables+squid .安装配置 OpenSSH 服务器 .Linux 网络环境下的 VPN 构建 .Linux 下的网络扫描和嗅探 nmap sniffer .Linux 下的网络流量监控 cati .Linux 系统日志服务管理 syslog
会了以上的那些,估计网络安全方面就没问题了。
㈣ 网络安全和LINUX,我该选哪个大家给一个建议
建议学linux,linux现在比较的热门,并且现在也紧缺linux的人才
不要怕左怕右的,别人的的建议也只能拿来考虑,凡事要自己好好想想,也要注意自己的特长和爱好了
㈤ 网络安全方向学linux学到什么程度和学哪个方面的
学好Linux的基本命令操作和网站架设部分就可以了,基本命令操作一定要精通,因为有许多Linux上的网络安全工具都是命令行界面的,需要经常在终端命令行操作;网站架设需要精通原理、还有网站管理、日常维护,因为网站渗透测试需要知道这些知识,以Linux为平台架设的网站是很多的。
㈥ 如何保证Linux服务器的网络安全
1.对指定网站禁止访问
iptables支持试用域名和IP地址两种方法来指定禁止的网站。如果使用域名的方式指定网站,iptables会通过DNS服务器查询该域名对应的所有IP地址,并将这些IP地址加入到规则中,所以使用域名指定网站时,iptables的执行速度会稍慢。
命令如下:
[root@localhost ~]# iptables -I FORWARD -d www.xxx.com -j DROP
[root@localhost ~]# iptables -t filter -L FORWARD
2.禁止linux服务器上网
操作命令如下:
[root@localhost ~]# iptables -I FORWARD -s 192.168.1.102 -j DROP
[root@localhost ~]# iptables -t filter -L FORWARD
3.禁止Linux服务器访问某些访问
端口是TCP/IP使用“端口”来区分系统中的不同的服务,如web服务使用的是TCP 80端口,FTP服务使用的是TCP 21端口等。由于不同的服务会使用不同的端口与外界进行通信,因此要禁止linux服务器上的某些访问,只要禁止服务使用的端口号即可。
操作命令如下:
[root@localhost ~]# iptables -I FROWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP
[root@localhost ~]# iptables -t filter -L FROWARD
㈦ 为什么网络安全需要学习linux
既然是网络安全,你应该知道现在做服务器最好的系统是什么。当然不是windows,所以要学习linux,它采用的核心是开源的。而且安全性比windows强多了。
学习linux代码就会更好的学习linux啊,然后更好的学习网络安全啊。
㈧ Linux与Windows的安全性比较
安全问题对于it管理员来说是需要长期关注的。主管们需要一套框架来对操作系统的安全性进行合理的评估,包括:基本安全、网络安全和协议,应用协议、发布与操作、确信度、可信计算、开放标准。在本文中,我们将按照这七个类别比较微软windows和linux的安全性。最终的定性结论是:目前为止,linux提供了相对于windows更好的安全性能,只有一个方面例外(确信度)。 无论按照什么标准对windows和linux进行评估,都存在一定的问题:每个操作系统都不止一个版本。微软的操作系统有windows98、windows nt、 windows 2000、 windows 2003 server和windows ce,而linux的发行版由于内核(基于2.2、2.4、2.6)的不同和软件包的不同也有较大的差异。我们本文所使用的操作系统,都是目前的技术而不是那些"古老"的解决方案。
用户需要记住:linux和windows在设计上就存在哲学性的区别。windows操作系统倾向于将更多的功能集成到操作系统内部,并将程序与内核相结合;而linux不同于windows,它的内核空间与用户空间有明显的界限。根据设计架构的不同,两者都可以使操作系统更加安全。
linux和windows安全性的基本改变
对于用户来说,linux和windows的不断更新引发了两者之间的竞争。用户可以有自己喜欢的系统,同时也在关注竞争的发展。微软的主动性似乎更高一些――这是由于业界"冷嘲热讽"的"激励"与linux的不断发展。微软将在下几个月对windows安全进行改观,届时微软会发布windowsxp的servicepack2。这一服务包增强了windows的安全性,关闭了原先默认开放的许多服务,也提供了新的补丁管理工具,例如:为了避免受到过多无用的信息,警告服务和信使服务都被关闭。大多数情况下,关闭这些特性对于增强系统安全性是有好处的,不过很难在安全性与软件的功能性、灵活性之间作出折衷。
最显着的表现是:微软更加关注改进可用性的同时增强系统的安全性。比如:2003年许多针对微软的漏洞攻击程序都使用可执行文件作为电子邮件的附件(例如mydoom)。service pack2包括一个附件执行服务,为outlook/exchange、 windows messenger和internetexplorer提供了统一的环境。这样就能降低用户运行可执行文件时感染病毒或者蠕虫的威胁性。另外,禁止数据页的可执行性也会限制潜在的缓冲区溢出的威胁。不过,微软在servicepack2中并没有修改windows有问题的架构以及安全传输的部分,而是将这部分重担交给了用户。
微软的重点显然是支持应用程序的安全性。service pack2中增强的许多方面都是以outlook/exchange和internet explorer作为对象的。例如:internetexplorer中有一个智能的mime类型检查,会对目标的内容类型进行检查,用户可以获悉该内容中是否存在潜在的有害程序。不过这一软件是不是能将病毒与同事的电子数据表区分开来呢?
servicepack2的另一个新特性是能够卸载浏览器的多余插件,这需要终端用户检查并判断需要卸载哪些插件。outlook/exchange可以预览电子邮件消息,因此用户可以在打开之前就将电子邮件删除。另一个应用安全的增强,防火墙在网络协议栈之前启动。对于软件开发者来说,远方过程调用中权限的改变,使得安全性差的代码难以工作正常。
servicepack2也为windows用户提供了许多华丽的新特性,但是问题仍然存在:这些特性会不会对管理员甚至是终端用户造成负担?是不是在增加了windows操作系统代码安全性的同时让系统变得更加复杂?
开放源代码、共享源代码
微软的共享源代码计划政策属于"可看但不可修改",例外的情况是windowsce共享源代码许可证计划。对于公司来说,可以将基于windowsce的设备和解决方案推向市场。这是微软共享源代码计划下,源设备制造商(oem)、半导体提供商、系统集成商可以完全访问windowsce源代码的唯一项目。所有许可证持有者都有对源代码的完全访问权,当然可以修改代码,但只有oem才能发布对基于wince设备的修改。所有其他的共享源代码许可证持有者,如果要访问该项目不允许的源代码,需要向redmond.wash的微软总部请示。
某些用户认为共享源代码计划对于调试程序会有帮助,微软要求编译的时候必须在微软总部,这不得不说是一个很大的限制。尽管微软想尽力增加透明,如果无法编译,就很难确定源代码在真实的it环境中是否能正常工作。限制用户修改并编译windows的源代码,降低了人们访问windows共享源代码并寻找安全漏洞的热情。
数据中心和桌面下linux的安全收益
在未来的12个月里,linux将加强在数据中心的份额,并试图冲击微软在桌面上的垄断。这很大程度上是受益于linux2.6版内核的新特性与新功能。有了linuxv2.6,安全框架现在已经模块化了。在这种模型下,linux内核的所有方面都提供了细粒度的用户访问控制,而以前的版本的内核允许超级用户完全控制。现在的实现仍然支持root完全访问系统,但完全可以创建一个不遵循该模型的liinux系统。
linuxv2.6内核的一个主要变化,就是新增的linux安全模块(lsm),用户不需要打内核补丁就能为linux增加更多的安全机制。新版内核,在lsm上建立了多个访问控制机制,其中包括美国国安局(nsa)的securiyenhancedlinux(selinux)。由于国安局对操作系统安全与强制访问控制的兴趣,产生了selinux。国安局的研究人员正在开发linux的安全模块,可以支持2.6内核的类型加强、基于脚色的访问控制、多层次安全。selinux使用了命为"域类型强制"的安全模型,可以将应用程序互相隔离,同时也与基本的操作系统隔离,从而限制入侵后程序或者网络服务造成的影响。
linux的2.6内核中已经加入了对selinux的细粒度布尔值标签的支持,其他的厂商也开始利用国安局的selinux。例如,immunix提供了一些列产品,包括stackguard和子域stackguard模块,可以配置进程只使用某些系统调用。redhat声称selinux将在redhat企业服务器4.0的安全架构上起重要的作用。
今天,linux的内核中已经有一个功能强大、灵活的强制访问控制子系统。这个系统强制隔离有机密和完整性要求的数据,因此任何潜在的破坏,即时是由超级用户进程所造成的,都被linux系统限制起来了。
linuxv2.6还提供了对加密安全的支持,包括了ipsec使用的加密api。这样,在网络和存储加密时就可以使用多种算法(例如:sha-1、des、三重des、md4、hmac、ede、和blowfish)。linux对ipsecipv4和ipv6协议的支持是一个很大的进步。由于安全抽象到了协议层,用户程序对潜在攻击程序的脆弱性有所降低。密码加密模块目前还不是linux内核的一部分,如果linux真的实现了这样的特性,就可以阻止未签名的模块被内核访问。
现在仍然困扰windows用户的一个问题就是缓冲区溢出。linux用户从2.6内核开始就会收益于exec-shield补丁。exec-shield可以阻止许多漏洞攻击程序覆盖数据结构并向这些结构中插入代码的企图。由于不需要重新编译应用程序就能使exec-shield补丁奏效,实现起来很方便。
另外,2.6内核中的抢占式内核,也减少了延迟,使得linux不但可以应用到数据中心,甚至可以在有软实时要求的应用程序使用。许多linux用户使用的是硬件厂商和系统提供商的不开源的驱动程序(二进制模块)。问题在于:虽然添加这些驱动和模块有用,对于linux系统并不一定有益。例如,一个未开源的驱动模块有可能控制系统调用并修改系统调用表。2.6的内核提供了特殊的保护措施,可以对限制未开源驱动或者模块对内核的访问。这一特性增加了稳定性,但从安全角度并没有增加新的限制,也不能阻止黑客编写恶意模块。
许多linux用户来说,最有创造性的特性就是用户模式linux了(uml),uml是linux内核的一个补丁,可以允许可执行二进制文件在linux宿主主机上编译并运行。使用uml有很多好处,最有用的特性就是虚拟机。由于对uml的操作不会影响宿主主机,可以把它作为测试软件、运行不稳定发行版、检查有威胁活动的平台。uml最终会创建一个安全架构上完全虚拟的环境。
linux与windows安全性能的重要结论
对操作系统的安全性进行定性分析,很容易包含主观意见,得到的结论会由于过去和现在的经验而有很大的不同。本文的目标是给用户提供一个框架,让他们更多的理解windows和linux的安全性能。下面的分析并不全面,只是终端用户进行评估的起点。linux和windows在技术上不断进步,究竟哪个系统更安全的结论也会不断变化。本文分析的结果:linux提供了比windows更好的安全特性。
基本安全
微软和linux都提供了对验证、访问控制、记帐/日至、受控的访问保护实体、加密的支持。不过linux的表现更好一些,因为linux还提供了linux安全模块、selinux和winbind。linux用户不需对内核打补丁就能增加额外的安全机制。
linux在lsm之上构建了多种访问控制机制,例如:为应用程序建立了单独的空间,使它们之间相互分离,也与基本的操作系统隔离,这样即使应用程序出现了安全问题也不会影响操作系统。linux的基本安全也可以通过应用程序增强,比如tripwire(可以定期对系统进行关键文件的完整性检查,如果文件的内容或者属性有变化就通知系统管理员)。
windows的限制在于基本安全是依靠mscapi的,在代码签名时信任多个密钥。微软的模型重点在于可以同时对一个产品使用弱加密或者强加密。尽管模块不是以相同的密钥进行签名,mscapi却信任许多根验证机构,代码签名也信任多个密钥。因此只要有一个密钥被泄露就会使整个系统异常脆弱。密钥泄漏的情况:授权的代码签名者不小心纰漏了自己的私钥,或者签名机构错误的签发了一个证书。这些情况曾经发生,有一次verisign错误的以微软的名义签发了两个证书,并将这些证书的控制权交给了未授权的个人。
网络安全与协议
linux与windows对网络安全和协议的支持都很不错。两者都支持ipsec,这是一个运行于ip层的开放的基于加密的保护方式。ipsec能够识别终端主机,同时能够对网络传输数据和加密数据的过程中的修改作出判断。linux下使用openssh、openssl和openldap,分别对应微软系统下闭合源码的ssh、ssl和ldap。
应用安全
由于微软iis和exchange/outlook不断出现的安全问题,linux显得更胜一筹。apache和postfix都是跨平台的应用程序,比微软的相应产品更加安全。由于linux有内建的防火墙使得其安全性有所增强,snort也是一个优秀的入侵检测系统。关于基于x86系统的linux内核,一个很重要的特性就是ingomolnar的exec-shield,可以保护系统不受缓冲区或者函数指针溢出的攻击,从而对那些通过覆盖数据结果或者插入代码的攻击程序有所防护。exec-shield补丁使攻击者很难实现基于shell-code的攻击程序,因为exec-shield的实现对于应用程序是透明的,因此不需要应用程序的重新编译。
微软正在大刀阔斧的重新设计产品的安全架构,并为已安装的系统提供补丁。不过旧版本的windows产品仍然存在安全问题,这使得任务变得复杂。许多微软用户正面临安全威胁,而补丁在发布之前必须做好文档。另外,微软倾向于将应用程序的数据和程序代码混合在一起,比如activex,这使得系统外的不可信数据也能被使用,甚至是利用不可信数据执行任意代码。某些情况下,windows甚至允许外部系统提供数据签名的代码,这就意味着本地的系统管理员也不能审查代码,不过他仍然知道是谁对代码签的名。
在.net框架下,微软应用程序的安全性有所改进。当然,对于那些异构平台,例如linux、windows、unix尤其是建立在java平台下的应用程序,微软的产品是有很大局限性的。
分发和操作
关于分发和操作,linux与微软的侧重点不同,linux下大部分的管理都通过命令行接口。linux的发行商也提供了各种安装和配置工具,例如:up2date、yast2和webmin。bastille linux是一个支持red hat、debian、mandrake、suse和turbolinux的加固工具。相比之下,windows的系统管理员使用简单易用的gui工具,配置的时候也很容易出错误。尽管一些人认为,一个周之内将任何人都可能成为windows的系统管理员,问题是他们到底对管理了解多少?微软的安全问题,绝大多数都是由于发布与操作时的拙劣配置。windows自带安装和配置工具,微软也为加固域控制器、架构服务器、文件服务器、打印服务器、ias服务器、证书服务器和堡垒主机提供了向导,不过加固架构与加固操作系统还是有区别的。
确信度
定义操作系统确信度的标准是公共标准(cc),这是iso标准(iso 15408)。关于确信度的等级有一个层次结构 ―― 从eal1到eal7。只有在特定的软件、硬件和系统配置下,公共标准的评估才是有效的。windows的eal比linux要高,达到了eal4,而linux目前只达到了eal3。suse正计划在年底达到eal4。政府机构大部分都需要cc的确信度。即使只有政府客户(甚至特指美国国防部)才需要确信度,商业产品满足这一要求也是一件好事。不过大部分的用户都不需要达到国防部的标准。
可信计算
可信计算是一种架构,可以避免对应用程序的修改,与厂商的通信也是安全的。许多厂商,比如intel、微软和ibm,都在欢迎这项新兴的技术。目前,这一功能只供展示,现实中并没有可用的系统,因此linux和windows都不能胜任。微软的可信计算与数字权力管理有关,而开源社区目前没有可信计算的项目。
开放标准
linux要优于windows,因为它支持所有的开放标准(尽管windows也支持许多相同的开放便准,如ipsec、ike和ipv6,也乐意扩展标准)。对于使用异构系统并有互操作需求的公司,"标准"如果代有私有代码,就使得对缺陷的检测和错误的修正更困难、耗费的时间也更多。一个例子就是微软对kerberos标准协议的扩展。微软提供了对kerberos票据的授权功能,尽管kerberos一开始也是按照这个目的设计的,这一功能却一直没有使用。微软扩展了kerberos标准,在处理过程中也期望其它程序共享票据的授权数据字段。因此,微软的kerberos版本与标准不能完全交互。it经理会发现:在一个异构的it环境中,使用微软kerberos会使得整个环境难以管理,它们需要完全的windows it架构。
开源
如果安全操作系统的标准就是开源,那么linux显然要优于windows。微软的共享源代码计划就是为了满足用户对源代码的需要。不过,该计划的大部分内容都是"可看但不可修改"的情况。俄罗斯、英国、中国和北约参与了微软的政府安全计划。尽管该计划的目标是增加透明度和加强合作,如果某组织需要访问微软的源代码,需要遵守各种各样的要求。例如:并不是所有的windows源代码都可以在线查看,因此如果用户需要编译并测试应用程序,必须亲自访问微软的总部。
推荐
linux和windows的安全性必定会引起持续的争论,到底是开源的操作系统好,还是封闭源代码的操作系统好?业界的逻辑是:基于开放标准与开放源代码的操作系统,能提供更好的互用性,更好的错误发现和修正机制,这要比通过隐藏来达到安全的模型优秀。开源也促使linux的发行提供商对生产过程完全透明。每一步对于用户来说都是可再现的,因此能够逐渐的增强安全。而windows的源代码并不易获得,因此不能提供等价的透明。
linux提供了至少不逊于windows的安全性能。linux系统的安全取决于对linux发行版的选择、使用的内核版本、实现与支持系统的it员工的水平。一旦你选定了产品,实现并维护操作系统的安全就完全依靠it员工了,你需要对他们进行培训,让他们掌握足够的专业技能,完成分发、管理和故障排除的任务。要让it经理和系统管理员明白如何应用这些惯例。
我们推荐各种机构首先了解自己的功能需要,然后熟悉一下操作系统关键性的安全性能,这样就能减少使用操作系统的风险,确保一致性。
如果你正考虑移植到另一个操作系统或者是升级目前的产品,你需要按照安全性能的要求来选择操作系统的环境。把你的商业需要与对操作系统安全性的理解相结合,就能在实现功能的同时,兼顾一致性与风险最小化。
表一:linux和windows操作系统重要的安全特性
分类
特性
linux
windows
定性得分
基本安全
验证、访问控制加密、记帐/日至
可插入的认证模块、插件模块、kerberos、pki、winbind、 acls、 lsm、selinux、 受控的访问保护实体检测、内核加密
kerberos、pki、 访问控制列表、受控的访问保护实体检测、微软的应用程序加密程序接口。
linux 更加出色
网络安全与协议
验证、层、网络层
openssl、open ssh、openldap、 ipsec
ssl、 ssh、 ldap、 ad、 ipsec
两者都很不错
应用安全
防病毒、 防火墙、 入侵检测软件、 web服务器、 email、 智能卡支持
openav、 panda、 trendmicro、 内核内建的防火墙功能、 snort、 apache、 sendmail、 postfix、 pkcs 11、 exec-shield
mcafee、 symantec、 check point、 iis、 exchange/outlook、 pcks 11
linux略胜一筹
分发与操作
安装、 配置、 加固、 管理、 漏洞扫描器
安装与配置工具、 bastille、大部分的管理通过命令行完成、 nessus、 发行版相关的up2date、 yast、 webmin
windows自带的安装和配置工具、没有特定的加固工具、 管理gui、 使用默认安装的配置。
两者都很不错
确信度
常见的公共标准证书、 缺陷处理
linux达到了 eal3,有较好的缺陷处理能力
windows 达到了 eal4,有较好的缺陷处理能力
windows更加出色
可信计算
可信平台的模块、可信计算软件栈、工具、验证
由ibm开发的基于可信平台模块的开源驱动程序、可信计算组的软件栈可望在2005年推出
下一代安全计算基础、有可能在2006年的longhorn中出现。
两者都不够出色
开放标准
ipsec、 posix、 传输层安全、 常见标准
linux 遵循所有的开放标准
microsoft也参与了开放标准,但仍有一些私有标准。
linux更加出色