Linux服務(wù)器的安全防護(hù)都有哪些措施�?
隨著開(kāi)源系統(tǒng)Linux的盛行�,其在大中型企業(yè)的應(yīng)用也在逐漸普及,很多企業(yè)的應(yīng)用服務(wù)都是構(gòu)筑在其之上�,例如Web服務(wù)、數(shù)據(jù)庫(kù)服務(wù)����、集群服務(wù)等等。因此����,Linux的安全性就成為了企業(yè)構(gòu)筑安全應(yīng)用的一個(gè)基礎(chǔ),是重中之重��,如何對(duì)其進(jìn)行安全防護(hù)是企業(yè)需要解決的一個(gè)基礎(chǔ)性問(wèn)題���,基于此��,本文將給出十大企業(yè)級(jí)Linux服務(wù)器安全防護(hù)的要點(diǎn)�。 1、強(qiáng)化:密碼管理 設(shè)定登錄密碼是一項(xiàng)非常重要的安全措施�,如果用戶(hù)的密碼設(shè)定不合適,就很容易被破譯�����,尤其是擁有超級(jí)用戶(hù)使用權(quán)限的用戶(hù)����,如果沒(méi)有良好的密碼�����,將給系統(tǒng)造成很大的安全漏洞�����。 目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段�����,而其中用戶(hù)密碼設(shè)定不當(dāng)���,則極易受到字典攻擊的威脅���。很多用戶(hù)喜歡用自己的英文名����、生日或者賬戶(hù)等信息來(lái)設(shè)定密碼�,這樣,黑客可能通過(guò)字典攻擊或者是社會(huì)工程的手段來(lái)破解密碼��。所以建議用戶(hù)在設(shè)定密碼的過(guò)程中�����,應(yīng)盡量使用非字典中出現(xiàn)的組合字符�����,并且采用數(shù)字與字符相結(jié)合����、大小寫(xiě)相結(jié)合的密碼設(shè)置方式,增加密碼被黑客破解的難度����。而且����,也可以使用定期修改密碼��、使密碼定期作廢的方式�����,來(lái)保護(hù)自己的登錄密碼�����。 在多用戶(hù)系統(tǒng)中�,如果強(qiáng)迫每個(gè)用戶(hù)選擇不易猜出的密碼��,將大大提高系統(tǒng)的安全性���。但如果passwd程序無(wú)法強(qiáng)迫每個(gè)上機(jī)用戶(hù)使用恰當(dāng)?shù)拿艽a��,要確保密碼的安全度��,就只能依靠密碼破解程序了����。實(shí)際上,密碼破解程序是黑客工具箱中的一種工具�,它將常用的密碼或者是英文字典中所有可能用來(lái)作密碼的字都用程序加密成密碼字,然后將其與Linux系統(tǒng)的/etc/passwd密碼文件或/etc/shadow影子文件相比較��,如果發(fā)現(xiàn)有吻合的密碼�,就可以求得明碼了。在網(wǎng)絡(luò)上可以找到很多密碼破解程序�,比較有名的程序是crack和john the ripper.用戶(hù)可以自己先執(zhí)行密碼破解程序,找出容易被黑客破解的密碼����,先行改正總比被黑客破解要有利。 2��、限定:網(wǎng)絡(luò)服務(wù)管理 早期的Linux版本中�,每一個(gè)不同的網(wǎng)絡(luò)服務(wù)都有一個(gè)服務(wù)程序(守護(hù)進(jìn)程,Daemon)在后臺(tái)運(yùn)行�����,后來(lái)的版本用統(tǒng)一的/etc/inetd服務(wù)器程序擔(dān)此重任��。Inetd是Internetdaemon的縮寫(xiě)��,它同時(shí)監(jiān)視多個(gè)網(wǎng)絡(luò)端口��,一旦接收到外界傳來(lái)的連接信息,就執(zhí)行相應(yīng)的TCP或UDP網(wǎng)絡(luò)服務(wù)���。由于受inetd的統(tǒng)一指揮�,因此Linux中的大部分TCP或UDP服務(wù)都是在/etc/inetd.conf文件中設(shè)定�。所以取消不必要服務(wù)的第一步就是檢查/etc/inetd.conf文件,在不要的服務(wù)前加上“#”號(hào)�����。 一般來(lái)說(shuō)�����,除了http�����、smtp�����、telnet和ftp之外�,其他服務(wù)都應(yīng)該取消�����,諸如簡(jiǎn)單文件傳輸協(xié)議tftp、網(wǎng)絡(luò)郵件存儲(chǔ)及接收所用的imap/ipop傳輸協(xié)議����、尋找和搜索資料用的gopher以及用于時(shí)間同步的daytime和time等。還有一些報(bào)告系統(tǒng)狀態(tài)的服務(wù)��,如finger�����、efinger��、systat和netstat等���,雖然對(duì)系統(tǒng)查錯(cuò)和尋找用戶(hù)非常有用��,但也給黑客提供了方便之門(mén)�����。例如����,黑客可以利用finger服務(wù)查找用戶(hù)的電話、使用目錄以及其他重要信息�����。因此����,很多Linux系統(tǒng)將這些服務(wù)全部取消或部分取消,以增強(qiáng)系統(tǒng)的安全性�����。Inetd除了利用/etc/inetd.conf設(shè)置系統(tǒng)服務(wù)項(xiàng)之外����,還利用/etc/services文件查找各項(xiàng)服務(wù)所使用的端口。因此�����,用戶(hù)必須仔細(xì)檢查該文件中各端口的設(shè)定�,以免有安全上的漏洞。 在后繼的Linux版本中(比如Red Hat Linux7.2之后)��,取而代之的是采用xinetd進(jìn)行網(wǎng)絡(luò)服務(wù)的管理���。 當(dāng)然�����,具體取消哪些服務(wù)不能一概而論��,需要根據(jù)實(shí)際的應(yīng)用情況來(lái)定����,但是系統(tǒng)管理員需要做到心中有數(shù)����,因?yàn)橐坏┫到y(tǒng)出現(xiàn)安全問(wèn)題,才能做到有步驟����、有條不紊地進(jìn)行查漏和補(bǔ)救工作,這點(diǎn)比較重要����。 3、嚴(yán)格審計(jì):系統(tǒng)登錄用戶(hù)管理 在進(jìn)入Linux系統(tǒng)之前��,所有用戶(hù)都需要登錄,也就是說(shuō)�,用戶(hù)需要輸入用戶(hù)賬號(hào)和密碼,只有它們通過(guò)系統(tǒng)驗(yàn)證之后����,用戶(hù)才能進(jìn)入系統(tǒng)。 與其他Unix操作系統(tǒng)一樣���,Linux一般將密碼加密之后�����,存放在/etc/passwd文件中��。Linux系統(tǒng)上的所有用戶(hù)都可以讀到/etc/passwd文件�����,雖然文件中保存的密碼已經(jīng)經(jīng)過(guò)加密����,但仍然不太安全����。因?yàn)橐话愕挠脩?hù)可以利用現(xiàn)成的密碼破譯工具�,以窮舉法猜測(cè)出密碼�。比較安全的方法是設(shè)定影子文件/etc/shadow�����,只允許有特殊權(quán)限的用戶(hù)閱讀該文件�。 在Linux系統(tǒng)中,如果要采用影子文件�,必須將所有的公用程序重新編譯,才能支持影子文件�����。這種方法比較麻煩�,比較簡(jiǎn)便的方法是采用插入式驗(yàn)證模塊(PAM)。很多Linux系統(tǒng)都帶有Linux的工具程序PAM��,它是一種身份驗(yàn)證機(jī)制����,可以用來(lái)動(dòng)態(tài)地改變身份驗(yàn)證的方法和要求,而不要求重新編譯其他公用程序��。這是因?yàn)镻AM采用封閉包的方式����,將所有與身份驗(yàn)證有關(guān)的邏輯全部隱藏在模塊內(nèi)��,因此它是采用影子檔案的最佳幫手�。 此外��,PAM還有很多安全功能:它可以將傳統(tǒng)的DES加密方法改寫(xiě)為其他功能更強(qiáng)的加密方法���,以確保用戶(hù)密碼不會(huì)輕易地遭人破譯;它可以設(shè)定每個(gè)用戶(hù)使用電腦資源的上限;它甚至可以設(shè)定用戶(hù)的上機(jī)時(shí)間和地點(diǎn)����。 Linux系統(tǒng)管理人員只需花費(fèi)幾小時(shí)去安裝和設(shè)定PAM����,就能大大提高Linux系統(tǒng)的安全性,把很多攻擊阻擋在系統(tǒng)之外��。 4��、設(shè)定:用戶(hù)賬號(hào)安全等級(jí)管理 除密碼之外����,用戶(hù)賬號(hào)也有安全等級(jí),這是因?yàn)樵贚inux上每個(gè)賬號(hào)可以被賦予不同的權(quán)限��,因此在建立一個(gè)新用戶(hù)ID時(shí),系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號(hào)不同的權(quán)限���,并且歸并到不同的用戶(hù)組中��。 在Linux系統(tǒng)中的部分文件中�,可以設(shè)定允許上機(jī)和不允許上機(jī)人員的名單��。其中�����,允許上機(jī)人員名單在/etc/hosts.allow中設(shè)置�����,不允許上機(jī)人員名單在/etc/hosts.deny中設(shè)置��。此外��,Linux將自動(dòng)把允許進(jìn)入或不允許進(jìn)入的結(jié)果記錄到/var/log/secure文件中����,系統(tǒng)管理員可以據(jù)此查出可疑的進(jìn)入記錄�����。 每個(gè)賬號(hào)ID應(yīng)該有專(zhuān)人負(fù)責(zé)。在企業(yè)中��,如果負(fù)責(zé)某個(gè)ID的職員離職��,管理員應(yīng)立即從系統(tǒng)中刪除該賬號(hào)���。很多入侵事件都是借用了那些很久不用的賬號(hào)��。 在用戶(hù)賬號(hào)之中�����,黑客最喜歡具有root權(quán)限的賬號(hào)����,這種超級(jí)用戶(hù)有權(quán)修改或刪除各種系統(tǒng)設(shè)置�,可以在系統(tǒng)中暢行無(wú)阻。因此����,在給任何賬號(hào)賦予root權(quán)限之前,都必須仔細(xì)考慮���。 Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號(hào)登錄的終端機(jī)名稱(chēng)����。例如,在RedHatLinux系統(tǒng)中����,該文件的初始值僅允許本地虛擬控制臺(tái)(rtys)以root權(quán)限登錄,而不允許遠(yuǎn)程用戶(hù)以root權(quán)限登錄����。最好不要修改該文件���,如果一定要從遠(yuǎn)程登錄為root權(quán)限��,最好是先以普通賬號(hào)登錄���,然后利用su命令升級(jí)為超級(jí)用戶(hù)。 5�、謹(jǐn)慎使用:“r系列”遠(yuǎn)程程序管理 在Linux系統(tǒng)中有一系列r字頭的公用程序,比如rlogin�,rcp等等。它們非常容易被黑客用來(lái)入侵我們的系統(tǒng)�����,因而非常危險(xiǎn),因此絕對(duì)不要將root賬號(hào)開(kāi)放給這些公用程序���。由于這些公用程序都是用���。rhosts文件或者h(yuǎn)osts.equiv文件核準(zhǔn)進(jìn)入的,因此一定要確保root賬號(hào)不包括在這些文件之內(nèi)��。 由于r等遠(yuǎn)程指令是黑客們用來(lái)攻擊系統(tǒng)的較好途徑��,因此很多安全工具都是針對(duì)這一安全漏洞而設(shè)計(jì)的�����。例如�����,PAM工具就可以用來(lái)將r字頭公用程序有效地禁止掉�����,它在/etc/pam.d/rlogin文件中加上登錄必須先核準(zhǔn)的指令,使整個(gè)系統(tǒng)的用戶(hù)都不能使用自己home目錄下的����。rhosts文件。 6��、限制:root用戶(hù)權(quán)限管理 Root一直是Linux保護(hù)的重點(diǎn)����,由于它權(quán)力無(wú)限,因此最好不要輕易將超級(jí)用戶(hù)授權(quán)出去����。但是,有些程序的安裝和維護(hù)工作必須要求有超級(jí)用戶(hù)的權(quán)限�,在這種情況下,可以利用其他工具讓這類(lèi)用戶(hù)有部分超級(jí)用戶(hù)的權(quán)限���。sudo就是這樣的工具。 sudo程序允許一般用戶(hù)經(jīng)過(guò)組態(tài)設(shè)定后���,以用戶(hù)自己的密碼再登錄一次����,取得超級(jí)用戶(hù)的權(quán)限���,但只能執(zhí)行有限的幾個(gè)指令����。例如,應(yīng)用sudo后�����,可以讓管理磁帶備份的管理人員每天按時(shí)登錄到系統(tǒng)中��,取得超級(jí)用戶(hù)權(quán)限去執(zhí)行文檔備份工作�����,但卻沒(méi)有特權(quán)去作其他只有超級(jí)用戶(hù)才能作的工作����。 sudo不但限制了用戶(hù)的權(quán)限,而且還將每次使用sudo所執(zhí)行的指令記錄下來(lái)��,不管該指令的執(zhí)行是成功還是失敗�。在大型企業(yè)中,有時(shí)候有許多人同時(shí)管理Linux系統(tǒng)的各個(gè)不同部分�,每個(gè)管理人員都有用sudo授權(quán)給某些用戶(hù)超級(jí)用戶(hù)權(quán)限的能力,從sudo的日志中,可以追蹤到誰(shuí)做了什么以及改動(dòng)了系統(tǒng)的哪些部分���。 值得注意的是���,sudo并不能限制所有的用戶(hù)行為,尤其是當(dāng)某些簡(jiǎn)單的指令沒(méi)有設(shè)置限定時(shí)���,就有可能被黑客濫用�����。例如�����,一般用來(lái)顯示文件內(nèi)容的/etc/cat指令�,如果有了超級(jí)用戶(hù)的權(quán)限����,黑客就可以用它修改或刪除一些重要的文件�。 7、追蹤黑客蹤跡:日志管理 當(dāng)用戶(hù)仔細(xì)設(shè)定了各種與Linux相關(guān)的配置(最常用日志管理選項(xiàng))�,并且安裝了必要的安全防護(hù)工具之后,Linux操作系統(tǒng)的安全性的確大為提高,但是卻并不能保證防止那些比較熟練的網(wǎng)絡(luò)黑客的入侵�����。 在平時(shí)�,網(wǎng)絡(luò)管理人員要經(jīng)常提高警惕,隨時(shí)注意各種可疑狀況��,并且按時(shí)檢查各種系統(tǒng)日志文件�����,包括一般信息日志����、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶(hù)登錄日志等�。在檢查這些日志時(shí),要注意是否有不合常理的時(shí)間記載����。例如: 正常用戶(hù)在半夜三更登錄; 不正常的日志記錄,比如日志只記錄了一半就切斷了����,或者整個(gè)日志文件被刪除了; 用戶(hù)從陌生的網(wǎng)址進(jìn)入系統(tǒng); 因密碼錯(cuò)誤或用戶(hù)賬號(hào)錯(cuò)誤被擯棄在外的日志記錄�����,尤其是那些一再連續(xù)嘗試進(jìn)入失敗�,但卻有一定模式的試錯(cuò)法; 非法使用或不正當(dāng)使用超級(jí)用戶(hù)權(quán)限su的指令; 重新開(kāi)機(jī)或重新啟動(dòng)各項(xiàng)服務(wù)的記錄��。 上述這些問(wèn)題都需要系統(tǒng)管理員隨時(shí)留意系統(tǒng)登錄的用戶(hù)狀況以及查看相應(yīng)日志文件���,許多背離正常行為的蛛絲馬跡都應(yīng)當(dāng)引起高度注意�����。 8�、橫向擴(kuò)展:綜合防御管理 防火墻����、IDS等防護(hù)技術(shù)已經(jīng)成功地應(yīng)用到網(wǎng)絡(luò)安全的各個(gè)領(lǐng)域,而且都有非常成熟的產(chǎn)品�����。 在Linux系統(tǒng)來(lái)說(shuō)��,有一個(gè)自帶的Netfilter/Iptables防火墻框架�,通過(guò)合理地配置其也能起到主機(jī)防火墻的功效。在Linux系統(tǒng)中也有相應(yīng)的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort以及主機(jī)入侵檢測(cè)系統(tǒng)LIDS(Linux Intrusion Detection System)����,使用它們可以快速、高效地進(jìn)行防護(hù)����。 需要提醒注意的是:在大多數(shù)的應(yīng)用情境下,我們需要綜合使用這兩項(xiàng)技術(shù)����,因?yàn)榉阑饓ο喈?dāng)于安全防護(hù)的第一層,它僅僅通過(guò)簡(jiǎn)單地比較IP地址/端口對(duì)來(lái)過(guò)濾網(wǎng)絡(luò)流量�,而IDS更加具體,它需要通過(guò)具體的數(shù)據(jù)包(部分或者全部)來(lái)過(guò)濾網(wǎng)絡(luò)流量��,是安全防護(hù)的第二層�����。綜合使用它們�,能夠做到互補(bǔ),并且發(fā)揮各自的優(yōu)勢(shì)��,最終實(shí)現(xiàn)綜合防御�。 9��、評(píng)測(cè):漏洞追蹤及管理 Linux作為一種優(yōu)秀的開(kāi)源軟件�,其自身的發(fā)展也日新月異�,同時(shí),其存在的問(wèn)題也會(huì)在日后的應(yīng)用中慢慢暴露出來(lái)���。黑客對(duì)新技術(shù)的關(guān)注從一定程度上來(lái)說(shuō)要高于我們防護(hù)人員�����,所以要想在網(wǎng)絡(luò)攻防的戰(zhàn)爭(zhēng)中處于有利地位����,保護(hù)Linux系統(tǒng)的安全��,就要求我們要保持高度的警惕性和對(duì)新技術(shù)的高度關(guān)注����。用戶(hù)特別是使用Linux作為關(guān)鍵業(yè)務(wù)系統(tǒng)的系統(tǒng)管理員們,需要通過(guò)Linux的一些權(quán)威網(wǎng)站和論壇上盡快地獲取有關(guān)該系統(tǒng)的一些新技術(shù)以及一些新的系統(tǒng)漏洞的信息��,進(jìn)行漏洞掃描���、滲透測(cè)試等系統(tǒng)化的相關(guān)配套工作����,做到防范于未然,提早行動(dòng)���,在漏洞出現(xiàn)后甚至是出現(xiàn)前的最短時(shí)間內(nèi)封堵系統(tǒng)的漏洞,并且在實(shí)踐中不斷地提高安全防護(hù)的技能�,這樣才是一個(gè)比較的解決辦法和出路。 10�、保持更新:補(bǔ)丁管理 Linux作為一種優(yōu)秀的開(kāi)源軟件,其穩(wěn)定性���、安全性和可用性有極為可靠的保證��,世界上的Linux高手共同維護(hù)著個(gè)優(yōu)秀的產(chǎn)品��,因而起流通渠道很多����,而且經(jīng)常有更新的程序和系統(tǒng)補(bǔ)丁出現(xiàn)�,因此,為了加強(qiáng)系統(tǒng)安全���,一定要經(jīng)常更新系統(tǒng)內(nèi)核�。 Kernel是Linux操作系統(tǒng)的核心,它常駐內(nèi)存���,用于加載操作系統(tǒng)的其他部分�����,并實(shí)現(xiàn)操作系統(tǒng)的基本功能�����。由于Kernel控制計(jì)算機(jī)和網(wǎng)絡(luò)的各種功能���,因此,它的安全性對(duì)整個(gè)系統(tǒng)安全至關(guān)重要���。早期的Kernel版本存在許多眾所周知的安全漏洞��,而且也不太穩(wěn)定����,只有2.0.x以上的版本才比較穩(wěn)定和安全(一般說(shuō)來(lái)�����,內(nèi)核版本號(hào)為偶數(shù)的相對(duì)穩(wěn)定,而為奇數(shù)的則一般為測(cè)試版本���,用戶(hù)們使用時(shí)要多留意)����,新版本的運(yùn)行效率也有很大改觀���。在設(shè)定Kernel的功能時(shí),只選擇必要的功能����,千萬(wàn)不要所有功能照單全收,否則會(huì)使Kernel變得很大�,既占用系統(tǒng)資源,也給黑客留下可乘之機(jī)����。 在Internet上常常有最新的安全修補(bǔ)程序,Linux系統(tǒng)管理員應(yīng)該消息靈通�����,經(jīng)常光顧安全新聞組,查閱新的修補(bǔ)程序�。
創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)公司是一家服務(wù)多年做網(wǎng)站建設(shè)策劃設(shè)計(jì)制作的公司,為廣大用戶(hù)提供了成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站�����、外貿(mào)網(wǎng)站建設(shè)�����,成都網(wǎng)站設(shè)計(jì)�,1元廣告,成都做網(wǎng)站選創(chuàng)新互聯(lián)建站���,貼合企業(yè)需求�,高性?xún)r(jià)比����,滿(mǎn)足客戶(hù)不同層次的需求一站式服務(wù)歡迎致電。
Linux與Windows的安全性比較
安全問(wèn)題對(duì)于it管理員來(lái)說(shuō)是需要長(zhǎng)期關(guān)注的���。主管們需要一套框架來(lái)對(duì)操作系統(tǒng)的安全性進(jìn)行合理的評(píng)估��,包括:基本安全�、網(wǎng)絡(luò)安全和協(xié)議,應(yīng)用協(xié)議���、發(fā)布與操作����、確信度����、可信計(jì)算、開(kāi)放標(biāo)準(zhǔn)���。在本文中,我們將按照這七個(gè)類(lèi)別比較微軟windows和linux的安全性����。最終的定性結(jié)論是:目前為止,linux提供了相對(duì)于windows更好的安全性能�,只有一個(gè)方面例外(確信度)。 無(wú)論按照什么標(biāo)準(zhǔn)對(duì)windows和linux進(jìn)行評(píng)估���,都存在一定的問(wèn)題:每個(gè)操作系統(tǒng)都不止一個(gè)版本����。微軟的操作系統(tǒng)有windows98、windows nt��、 windows 2000��、 windows 2003 server和windows ce��,而linux的發(fā)行版由于內(nèi)核(基于2.2���、2.4���、2.6)的不同和軟件包的不同也有較大的差異。我們本文所使用的操作系統(tǒng)��,都是目前的技術(shù)而不是那些"古老"的解決方案����。
用戶(hù)需要記住:linux和windows在設(shè)計(jì)上就存在哲學(xué)性的區(qū)別��。windows操作系統(tǒng)傾向于將更多的功能集成到操作系統(tǒng)內(nèi)部�,并將程序與內(nèi)核相結(jié)合;而linux不同于windows���,它的內(nèi)核空間與用戶(hù)空間有明顯的界限���。根據(jù)設(shè)計(jì)架構(gòu)的不同��,兩者都可以使操作系統(tǒng)更加安全����。
linux和windows安全性的基本改變
對(duì)于用戶(hù)來(lái)說(shuō)����,linux和windows的不斷更新引發(fā)了兩者之間的競(jìng)爭(zhēng)。用戶(hù)可以有自己喜歡的系統(tǒng)���,同時(shí)也在關(guān)注競(jìng)爭(zhēng)的發(fā)展�����。微軟的主動(dòng)性似乎更高一些――這是由于業(yè)界"冷嘲熱諷"的"激勵(lì)"與linux的不斷發(fā)展。微軟將在下幾個(gè)月對(duì)windows安全進(jìn)行改觀���,屆時(shí)微軟會(huì)發(fā)布windows xp的service pack2��。這一服務(wù)包增強(qiáng)了windows的安全性���,關(guān)閉了原先默認(rèn)開(kāi)放的許多服務(wù)��,也提供了新的補(bǔ)丁管理工具��,例如:為了避免受到過(guò)多無(wú)用的信息��,警告服務(wù)和信使服務(wù)都被關(guān)閉�。大多數(shù)情況下�,關(guān)閉這些特性對(duì)于增強(qiáng)系統(tǒng)安全性是有好處的,不過(guò)很難在安全性與軟件的功能性����、靈活性之間作出折衷。
最顯著的表現(xiàn)是:微軟更加關(guān)注改進(jìn)可用性的同時(shí)增強(qiáng)系統(tǒng)的安全性��。比如:2003年許多針對(duì)微軟的漏洞攻擊程序都使用可執(zhí)行文件作為電子郵件的附件(例如mydoom)�。service pack2包括一個(gè)附件執(zhí)行服務(wù),為outlook/exchange�、 windows messenger和internet explorer提供了統(tǒng)一的環(huán)境。這樣就能降低用戶(hù)運(yùn)行可執(zhí)行文件時(shí)感染病毒或者蠕蟲(chóng)的威脅性���。另外����,禁止數(shù)據(jù)頁(yè)的可執(zhí)行性也會(huì)限制潛在的緩沖區(qū)溢出的威脅����。不過(guò)�,微軟在service pack2中并沒(méi)有修改windows有問(wèn)題的架構(gòu)以及安全傳輸?shù)牟糠?���,而是將這部分重?fù)?dān)交給了用戶(hù)。
微軟的重點(diǎn)顯然是支持應(yīng)用程序的安全性����。service pack2中增強(qiáng)的許多方面都是以outlook/exchange和internet explorer作為對(duì)象的。例如:internet explorer中有一個(gè)智能的mime類(lèi)型檢查�����,會(huì)對(duì)目標(biāo)的內(nèi)容類(lèi)型進(jìn)行檢查�����,用戶(hù)可以獲悉該內(nèi)容中是否存在潛在的有害程序���。不過(guò)這一軟件是不是能將病毒與同事的電子數(shù)據(jù)表區(qū)分開(kāi)來(lái)呢?
service pack2的另一個(gè)新特性是能夠卸載瀏覽器的多余插件���,這需要終端用戶(hù)檢查并判斷需要卸載哪些插件�����。outlook/exchange可以預(yù)覽電子郵件消息���,因此用戶(hù)可以在打開(kāi)之前就將電子郵件刪除�����。另一個(gè)應(yīng)用安全的增強(qiáng)��,防火墻在網(wǎng)絡(luò)協(xié)議棧之前啟動(dòng)����。對(duì)于軟件開(kāi)發(fā)者來(lái)說(shuō)��,遠(yuǎn)方過(guò)程調(diào)用中權(quán)限的改變����,使得安全性差的代碼難以工作正常。
service pack2也為windows用戶(hù)提供了許多華麗的新特性��,但是問(wèn)題仍然存在:這些特性會(huì)不會(huì)對(duì)管理員甚至是終端用戶(hù)造成負(fù)擔(dān)��?是不是在增加了windows操作系統(tǒng)代碼安全性的同時(shí)讓系統(tǒng)變得更加復(fù)雜��?
開(kāi)放源代碼、共享源代碼
微軟的共享源代碼計(jì)劃政策屬于"可看但不可修改"�����,例外的情況是windows ce共享源代碼許可證計(jì)劃�����。對(duì)于公司來(lái)說(shuō)�����,可以將基于windows ce的設(shè)備和解決方案推向市場(chǎng)���。這是微軟共享源代碼計(jì)劃下��,源設(shè)備制造商(oem)���、半導(dǎo)體提供商、系統(tǒng)集成商可以完全訪問(wèn)windows ce源代碼的唯一項(xiàng)目��。所有許可證持有者都有對(duì)源代碼的完全訪問(wèn)權(quán)�,當(dāng)然可以修改代碼,但只有oem才能發(fā)布對(duì)基于wince設(shè)備的修改。所有其他的共享源代碼許可證持有者����,如果要訪問(wèn)該項(xiàng)目不允許的源代碼�����,需要向redmond.wash的微軟總部請(qǐng)示���。
某些用戶(hù)認(rèn)為共享源代碼計(jì)劃對(duì)于調(diào)試程序會(huì)有幫助�,微軟要求編譯的時(shí)候必須在微軟總部�,這不得不說(shuō)是一個(gè)很大的限制。盡管微軟想盡力增加透明�����,如果無(wú)法編譯����,就很難確定源代碼在真實(shí)的it環(huán)境中是否能正常工作。限制用戶(hù)修改并編譯windows的源代碼����,降低了人們?cè)L問(wèn)windows共享源代碼并尋找安全漏洞的熱情。
數(shù)據(jù)中心和桌面下linux的安全收益
在未來(lái)的12個(gè)月里,linux將加強(qiáng)在數(shù)據(jù)中心的份額����,并試圖沖擊微軟在桌面上的壟斷。這很大程度上是受益于linux2.6版內(nèi)核的新特性與新功能�����。有了linux v2.6����,安全框架現(xiàn)在已經(jīng)模塊化了。在這種模型下�,linux內(nèi)核的所有方面都提供了細(xì)粒度的用戶(hù)訪問(wèn)控制,而以前的版本的內(nèi)核允許超級(jí)用戶(hù)完全控制?��,F(xiàn)在的實(shí)現(xiàn)仍然支持root完全訪問(wèn)系統(tǒng)����,但完全可以創(chuàng)建一個(gè)不遵循該模型的liinux系統(tǒng)���。
linux v2.6內(nèi)核的一個(gè)主要變化���,就是新增的linux安全模塊(lsm)�,用戶(hù)不需要打內(nèi)核補(bǔ)丁就能為linux增加更多的安全機(jī)制��。新版內(nèi)核�����,在lsm上建立了多個(gè)訪問(wèn)控制機(jī)制����,其中包括美國(guó)國(guó)安局(nsa)的securiy enhanced linux(selinux)����。由于國(guó)安局對(duì)操作系統(tǒng)安全與強(qiáng)制訪問(wèn)控制的興趣,產(chǎn)生了selinux����。國(guó)安局的研究人員正在開(kāi)發(fā)linux的安全模塊,可以支持2.6內(nèi)核的類(lèi)型加強(qiáng)�、基于腳色的訪問(wèn)控制、多層次安全��。selinux使用了命為"域類(lèi)型強(qiáng)制"的安全模型�����,可以將應(yīng)用程序互相隔離,同時(shí)也與基本的操作系統(tǒng)隔離�,從而限制入侵后程序或者網(wǎng)絡(luò)服務(wù)造成的影響。
linux的2.6內(nèi)核中已經(jīng)加入了對(duì)selinux的細(xì)粒度布爾值標(biāo)簽的支持����,其他的廠商也開(kāi)始利用國(guó)安局的selinux。例如���,immunix提供了一些列產(chǎn)品���,包括stackguard和子域stackguard模塊,可以配置進(jìn)程只使用某些系統(tǒng)調(diào)用����。redhat聲稱(chēng)selinux將在redhat企業(yè)服務(wù)器4.0的安全架構(gòu)上起重要的作用。
今天���,linux的內(nèi)核中已經(jīng)有一個(gè)功能強(qiáng)大���、靈活的強(qiáng)制訪問(wèn)控制子系統(tǒng)。這個(gè)系統(tǒng)強(qiáng)制隔離有機(jī)密和完整性要求的數(shù)據(jù)�����,因此任何潛在的破壞,即時(shí)是由超級(jí)用戶(hù)進(jìn)程所造成的�,都被linux系統(tǒng)限制起來(lái)了。
linux v2.6還提供了對(duì)加密安全的支持�,包括了ipsec使用的加密api。這樣����,在網(wǎng)絡(luò)和存儲(chǔ)加密時(shí)就可以使用多種算法(例如:sha-1、des����、三重des��、md4���、hmac����、ede���、和blowfish)�����。linux對(duì)ipsec ipv4和ipv6協(xié)議的支持是一個(gè)很大的進(jìn)步�。由于安全抽象到了協(xié)議層,用戶(hù)程序?qū)撛诠舫绦虻拇嗳跣杂兴档?����。密碼加密模塊目前還不是linux內(nèi)核的一部分�,如果linux真的實(shí)現(xiàn)了這樣的特性,就可以阻止未簽名的模塊被內(nèi)核訪問(wèn)��。
現(xiàn)在仍然困擾windows用戶(hù)的一個(gè)問(wèn)題就是緩沖區(qū)溢出���。linux用戶(hù)從2.6內(nèi)核開(kāi)始就會(huì)收益于exec-shield補(bǔ)丁��。exec-shield可以阻止許多漏洞攻擊程序覆蓋數(shù)據(jù)結(jié)構(gòu)并向這些結(jié)構(gòu)中插入代碼的企圖�����。由于不需要重新編譯應(yīng)用程序就能使exec-shield補(bǔ)丁奏效��,實(shí)現(xiàn)起來(lái)很方便��。
另外����,2.6內(nèi)核中的搶占式內(nèi)核,也減少了延遲����,使得linux不但可以應(yīng)用到數(shù)據(jù)中心,甚至可以在有軟實(shí)時(shí)要求的應(yīng)用程序使用���。許多l(xiāng)inux用戶(hù)使用的是硬件廠商和系統(tǒng)提供商的不開(kāi)源的驅(qū)動(dòng)程序(二進(jìn)制模塊)���。問(wèn)題在于:雖然添加這些驅(qū)動(dòng)和模塊有用,對(duì)于linux系統(tǒng)并不一定有益����。例如���,一個(gè)未開(kāi)源的驅(qū)動(dòng)模塊有可能控制系統(tǒng)調(diào)用并修改系統(tǒng)調(diào)用表�。2.6的內(nèi)核提供了特殊的保護(hù)措施�,可以對(duì)限制未開(kāi)源驅(qū)動(dòng)或者模塊對(duì)內(nèi)核的訪問(wèn)。這一特性增加了穩(wěn)定性�����,但從安全角度并沒(méi)有增加新的限制���,也不能阻止黑客編寫(xiě)惡意模塊��。
許多l(xiāng)inux用戶(hù)來(lái)說(shuō)�,最有創(chuàng)造性的特性就是用戶(hù)模式linux了(uml),uml是linux內(nèi)核的一個(gè)補(bǔ)丁�,可以允許可執(zhí)行二進(jìn)制文件在linux宿主主機(jī)上編譯并運(yùn)行。使用uml有很多好處��,最有用的特性就是虛擬機(jī)�。由于對(duì)uml的操作不會(huì)影響宿主主機(jī),可以把它作為測(cè)試軟件���、運(yùn)行不穩(wěn)定發(fā)行版�、檢查有威脅活動(dòng)的平臺(tái)���。uml最終會(huì)創(chuàng)建一個(gè)安全架構(gòu)上完全虛擬的環(huán)境�����。
linux與windows安全性能的重要結(jié)論
對(duì)操作系統(tǒng)的安全性進(jìn)行定性分析����,很容易包含主觀意見(jiàn),得到的結(jié)論會(huì)由于過(guò)去和現(xiàn)在的經(jīng)驗(yàn)而有很大的不同����。本文的目標(biāo)是給用戶(hù)提供一個(gè)框架,讓他們更多的理解windows和linux的安全性能��。下面的分析并不全面�,只是終端用戶(hù)進(jìn)行評(píng)估的起點(diǎn)。linux和windows在技術(shù)上不斷進(jìn)步����,究竟哪個(gè)系統(tǒng)更安全的結(jié)論也會(huì)不斷變化。本文分析的結(jié)果:linux提供了比windows更好的安全特性����。
基本安全
微軟和linux都提供了對(duì)驗(yàn)證、訪問(wèn)控制��、記帳/日至���、受控的訪問(wèn)保護(hù)實(shí)體、加密的支持�。不過(guò)linux的表現(xiàn)更好一些,因?yàn)閘inux還提供了linux安全模塊���、selinux和winbind���。linux用戶(hù)不需對(duì)內(nèi)核打補(bǔ)丁就能增加額外的安全機(jī)制��。
linux在lsm之上構(gòu)建了多種訪問(wèn)控制機(jī)制���,例如:為應(yīng)用程序建立了單獨(dú)的空間,使它們之間相互分離��,也與基本的操作系統(tǒng)隔離�����,這樣即使應(yīng)用程序出現(xiàn)了安全問(wèn)題也不會(huì)影響操作系統(tǒng)���。linux的基本安全也可以通過(guò)應(yīng)用程序增強(qiáng)���,比如tripwire(可以定期對(duì)系統(tǒng)進(jìn)行關(guān)鍵文件的完整性檢查,如果文件的內(nèi)容或者屬性有變化就通知系統(tǒng)管理員)���。
windows的限制在于基本安全是依靠mscapi的���,在代碼簽名時(shí)信任多個(gè)密鑰。微軟的模型重點(diǎn)在于可以同時(shí)對(duì)一個(gè)產(chǎn)品使用弱加密或者強(qiáng)加密。盡管模塊不是以相同的密鑰進(jìn)行簽名���,mscapi卻信任許多根驗(yàn)證機(jī)構(gòu)����,代碼簽名也信任多個(gè)密鑰����。因此只要有一個(gè)密鑰被泄露就會(huì)使整個(gè)系統(tǒng)異常脆弱。密鑰泄漏的情況:授權(quán)的代碼簽名者不小心紕漏了自己的私鑰���,或者簽名機(jī)構(gòu)錯(cuò)誤的簽發(fā)了一個(gè)證書(shū)����。這些情況曾經(jīng)發(fā)生���,有一次verisign錯(cuò)誤的以微軟的名義簽發(fā)了兩個(gè)證書(shū)���,并將這些證書(shū)的控制權(quán)交給了未授權(quán)的個(gè)人。
網(wǎng)絡(luò)安全與協(xié)議
linux與windows對(duì)網(wǎng)絡(luò)安全和協(xié)議的支持都很不錯(cuò)����。兩者都支持ipsec,這是一個(gè)運(yùn)行于ip層的開(kāi)放的基于加密的保護(hù)方式��。ipsec能夠識(shí)別終端主機(jī)�,同時(shí)能夠?qū)W(wǎng)絡(luò)傳輸數(shù)據(jù)和加密數(shù)據(jù)的過(guò)程中的修改作出判斷。linux下使用openssh�����、openssl和openldap,分別對(duì)應(yīng)微軟系統(tǒng)下閉合源碼的ssh、ssl和ldap��。
應(yīng)用安全
由于微軟iis和exchange/outlook不斷出現(xiàn)的安全問(wèn)題�����,linux顯得更勝一籌����。apache和postfix都是跨平臺(tái)的應(yīng)用程序�,比微軟的相應(yīng)產(chǎn)品更加安全。由于linux有內(nèi)建的防火墻使得其安全性有所增強(qiáng)�����,snort也是一個(gè)優(yōu)秀的入侵檢測(cè)系統(tǒng)��。關(guān)于基于x86系統(tǒng)的linux內(nèi)核,一個(gè)很重要的特性就是ingomolnar的exec-shield����,可以保護(hù)系統(tǒng)不受緩沖區(qū)或者函數(shù)指針溢出的攻擊,從而對(duì)那些通過(guò)覆蓋數(shù)據(jù)結(jié)果或者插入代碼的攻擊程序有所防護(hù)�����。exec-shield補(bǔ)丁使攻擊者很難實(shí)現(xiàn)基于shell-code的攻擊程序���,因?yàn)閑xec-shield的實(shí)現(xiàn)對(duì)于應(yīng)用程序是透明的�,因此不需要應(yīng)用程序的重新編譯��。
微軟正在大刀闊斧的重新設(shè)計(jì)產(chǎn)品的安全架構(gòu)����,并為已安裝的系統(tǒng)提供補(bǔ)丁。不過(guò)舊版本的windows產(chǎn)品仍然存在安全問(wèn)題�����,這使得任務(wù)變得復(fù)雜����。許多微軟用戶(hù)正面臨安全威脅���,而補(bǔ)丁在發(fā)布之前必須做好文檔���。另外��,微軟傾向于將應(yīng)用程序的數(shù)據(jù)和程序代碼混合在一起��,比如activex��,這使得系統(tǒng)外的不可信數(shù)據(jù)也能被使用�,甚至是利用不可信數(shù)據(jù)執(zhí)行任意代碼�。某些情況下,windows甚至允許外部系統(tǒng)提供數(shù)據(jù)簽名的代碼��,這就意味著本地的系統(tǒng)管理員也不能審查代碼�,不過(guò)他仍然知道是誰(shuí)對(duì)代碼簽的名。
在點(diǎn)虐
框架下����,微軟應(yīng)用程序的安全性有所改進(jìn)。當(dāng)然���,對(duì)于那些異構(gòu)平臺(tái)��,例如linux����、windows、unix尤其是建立在java平臺(tái)下的應(yīng)用程序��,微軟的產(chǎn)品是有很大局限性的�。
分發(fā)和操作
關(guān)于分發(fā)和操作,linux與微軟的側(cè)重點(diǎn)不同���,linux下大部分的管理都通過(guò)命令行接口��。linux的發(fā)行商也提供了各種安裝和配置工具�,例如:up2date�����、yast2和webmin����。bastille linux是一個(gè)支持red hat、debian�、mandrake、suse和turbolinux的加固工具��。相比之下,windows的系統(tǒng)管理員使用簡(jiǎn)單易用的gui工具���,配置的時(shí)候也很容易出錯(cuò)誤��。盡管一些人認(rèn)為��,一個(gè)周之內(nèi)將任何人都可能成為windows的系統(tǒng)管理員,問(wèn)題是他們到底對(duì)管理了解多少��?微軟的安全問(wèn)題��,絕大多數(shù)都是由于發(fā)布與操作時(shí)的拙劣配置��。windows自帶安裝和配置工具����,微軟也為加固域控制器、架構(gòu)服務(wù)器��、文件服務(wù)器����、打印服務(wù)器、ias服務(wù)器��、證書(shū)服務(wù)器和堡壘主機(jī)提供了向?qū)В贿^(guò)加固架構(gòu)與加固操作系統(tǒng)還是有區(qū)別的�。
確信度
定義操作系統(tǒng)確信度的標(biāo)準(zhǔn)是公共標(biāo)準(zhǔn)(cc),這是iso標(biāo)準(zhǔn)(iso 15408)����。關(guān)于確信度的等級(jí)有一個(gè)層次結(jié)構(gòu) ―― 從eal1到eal7。只有在特定的軟件���、硬件和系統(tǒng)配置下��,公共標(biāo)準(zhǔn)的評(píng)估才是有效的���。windows的eal比linux要高,達(dá)到了eal4�����,而linux目前只達(dá)到了eal3�����。suse正計(jì)劃在年底達(dá)到eal4�����。政府機(jī)構(gòu)大部分都需要cc的確信度。即使只有政府客戶(hù)(甚至特指美國(guó)國(guó)防部)才需要確信度����,商業(yè)產(chǎn)品滿(mǎn)足這一要求也是一件好事。不過(guò)大部分的用戶(hù)都不需要達(dá)到國(guó)防部的標(biāo)準(zhǔn)��。
可信計(jì)算
可信計(jì)算是一種架構(gòu)��,可以避免對(duì)應(yīng)用程序的修改����,與廠商的通信也是安全的�。許多廠商,比如intel����、微軟和ibm,都在歡迎這項(xiàng)新興的技術(shù)��。目前���,這一功能只供展示�,現(xiàn)實(shí)中并沒(méi)有可用的系統(tǒng),因此linux和windows都不能勝任����。微軟的可信計(jì)算與數(shù)字權(quán)力管理有關(guān),而開(kāi)源社區(qū)目前沒(méi)有可信計(jì)算的項(xiàng)目��。
開(kāi)放標(biāo)準(zhǔn)
linux要優(yōu)于windows����,因?yàn)樗С炙械拈_(kāi)放標(biāo)準(zhǔn)(盡管windows也支持許多相同的開(kāi)放便準(zhǔn),如ipsec�、ike和ipv6,也樂(lè)意擴(kuò)展標(biāo)準(zhǔn))�����。對(duì)于使用異構(gòu)系統(tǒng)并有互操作需求的公司����,"標(biāo)準(zhǔn)"如果代有私有代碼,就使得對(duì)缺陷的檢測(cè)和錯(cuò)誤的修正更困難�、耗費(fèi)的時(shí)間也更多。一個(gè)例子就是微軟對(duì)kerberos標(biāo)準(zhǔn)協(xié)議的擴(kuò)展�。微軟提供了對(duì)kerberos票據(jù)的授權(quán)功能,盡管kerberos一開(kāi)始也是按照這個(gè)目的設(shè)計(jì)的����,這一功能卻一直沒(méi)有使用����。微軟擴(kuò)展了kerberos標(biāo)準(zhǔn)�,在處理過(guò)程中也期望其它程序共享票據(jù)的授權(quán)數(shù)據(jù)字段。因此�,微軟的kerberos版本與標(biāo)準(zhǔn)不能完全交互。it經(jīng)理會(huì)發(fā)現(xiàn):在一個(gè)異構(gòu)的it環(huán)境中����,使用微軟kerberos會(huì)使得整個(gè)環(huán)境難以管理,它們需要完全的windows it架構(gòu)���。
開(kāi)源
如果安全操作系統(tǒng)的標(biāo)準(zhǔn)就是開(kāi)源�����,那么linux顯然要優(yōu)于windows。微軟的共享源代碼計(jì)劃就是為了滿(mǎn)足用戶(hù)對(duì)源代碼的需要��。不過(guò)���,該計(jì)劃的大部分內(nèi)容都是"可看但不可修改"的情況����。俄羅斯、英國(guó)�����、中國(guó)和北約參與了微軟的政府安全計(jì)劃�。盡管該計(jì)劃的目標(biāo)是增加透明度和加強(qiáng)合作,如果某組織需要訪問(wèn)微軟的源代碼���,需要遵守各種各樣的要求����。例如:并不是所有的windows源代碼都可以在線查看�����,因此如果用戶(hù)需要編譯并測(cè)試應(yīng)用程序��,必須親自訪問(wèn)微軟的總部�����。
推薦
linux和windows的安全性必定會(huì)引起持續(xù)的爭(zhēng)論�����,到底是開(kāi)源的操作系統(tǒng)好,還是封閉源代碼的操作系統(tǒng)好�����?業(yè)界的邏輯是:基于開(kāi)放標(biāo)準(zhǔn)與開(kāi)放源代碼的操作系統(tǒng)����,能提供更好的互用性,更好的錯(cuò)誤發(fā)現(xiàn)和修正機(jī)制�����,這要比通過(guò)隱藏來(lái)達(dá)到安全的模型優(yōu)秀�����。開(kāi)源也促使linux的發(fā)行提供商對(duì)生產(chǎn)過(guò)程完全透明��。每一步對(duì)于用戶(hù)來(lái)說(shuō)都是可再現(xiàn)的�����,因此能夠逐漸的增強(qiáng)安全��。而windows的源代碼并不易獲得����,因此不能提供等價(jià)的透明。
linux提供了至少不遜于windows的安全性能�。linux系統(tǒng)的安全取決于對(duì)linux發(fā)行版的選擇、使用的內(nèi)核版本�、實(shí)現(xiàn)與支持系統(tǒng)的it員工的水平。一旦你選定了產(chǎn)品����,實(shí)現(xiàn)并維護(hù)操作系統(tǒng)的安全就完全依靠it員工了,你需要對(duì)他們進(jìn)行培訓(xùn)�����,讓他們掌握足夠的專(zhuān)業(yè)技能�����,完成分發(fā)�、管理和故障排除的任務(wù)。要讓it經(jīng)理和系統(tǒng)管理員明白如何應(yīng)用這些慣例�����。
我們推薦各種機(jī)構(gòu)首先了解自己的功能需要,然后熟悉一下操作系統(tǒng)關(guān)鍵性的安全性能���,這樣就能減少使用操作系統(tǒng)的風(fēng)險(xiǎn)��,確保一致性��。
如果你正考慮移植到另一個(gè)操作系統(tǒng)或者是升級(jí)目前的產(chǎn)品�,你需要按照安全性能的要求來(lái)選擇操作系統(tǒng)的環(huán)境�。把你的商業(yè)需要與對(duì)操作系統(tǒng)安全性的理解相結(jié)合,就能在實(shí)現(xiàn)功能的同時(shí)�,兼顧一致性與風(fēng)險(xiǎn)最小化。
表一:linux和windows操作系統(tǒng)重要的安全特性
分類(lèi)
特性
linux
windows
定性得分
基本安全
驗(yàn)證����、訪問(wèn)控制加密、記帳/日至
可插入的認(rèn)證模塊�����、插件模塊�����、kerberos��、pki���、winbind���、 acls、 lsm����、selinux、 受控的訪問(wèn)保護(hù)實(shí)體檢測(cè)�、內(nèi)核加密
kerberos、pki���、 訪問(wèn)控制列表����、受控的訪問(wèn)保護(hù)實(shí)體檢測(cè)��、微軟的應(yīng)用程序加密程序接口���。
linux 更加出色
網(wǎng)絡(luò)安全與協(xié)議
驗(yàn)證���、層��、網(wǎng)絡(luò)層
openssl��、open ssh�����、openldap��、 ipsec
ssl����、 ssh���、 ldap����、 ad�����、 ipsec
兩者都很不錯(cuò)
應(yīng)用安全
防病毒����、 防火墻��、 入侵檢測(cè)軟件��、 web服務(wù)器、 email�����、 智能卡支持
openav����、 panda、 trendmicro�、 內(nèi)核內(nèi)建的防火墻功能、 snort�、 apache、 sendmail��、 postfix�����、 pkcs 11�����、 exec-shield
mcafee、 symantec�����、 check point�、 iis、 exchange/outlook��、 pcks 11
linux略勝一籌
分發(fā)與操作
安裝��、 配置�����、 加固�����、 管理�����、 漏洞掃描器
安裝與配置工具���、 bastille�、大部分的管理通過(guò)命令行完成、 nessus��、 發(fā)行版相關(guān)的up2date�����、 yast�����、 webmin
windows自帶的安裝和配置工具����、沒(méi)有特定的加固工具����、 管理gui、 使用默認(rèn)安裝的配置�����。
兩者都很不錯(cuò)
確信度
常見(jiàn)的公共標(biāo)準(zhǔn)證書(shū)���、 缺陷處理
linux達(dá)到了 eal3�����,有較好的缺陷處理能力
windows 達(dá)到了 eal4��,有較好的缺陷處理能力
windows更加出色
可信計(jì)算
可信平臺(tái)的模塊�����、可信計(jì)算軟件棧�、工具、驗(yàn)證
由ibm開(kāi)發(fā)的基于可信平臺(tái)模塊的開(kāi)源驅(qū)動(dòng)程序��、可信計(jì)算組的軟件?���?赏?005年推出
下一代安全計(jì)算基礎(chǔ)、有可能在2006年的longhorn中出現(xiàn)��。
兩者都不夠出色
開(kāi)放標(biāo)準(zhǔn)
ipsec�、 posix、 傳輸層安全��、 常見(jiàn)標(biāo)準(zhǔn)
linux 遵循所有的開(kāi)放標(biāo)準(zhǔn)
microsoft也參與了開(kāi)放標(biāo)準(zhǔn)����,但仍有一些私有標(biāo)準(zhǔn)�。
linux更加出色
在Linux 服務(wù)器上部署�����,安全穩(wěn)定性如何?
和信云桌面的3V架構(gòu)都可以部署在linux上���,已經(jīng)多年穩(wěn)定運(yùn)行����?���?梢约嫒軨entOS�、Ubuntu等國(guó)外linux,也兼容麒麟�����、UOS等主流國(guó)產(chǎn)化服務(wù)器操作系統(tǒng)����。終端也兼容國(guó)內(nèi)外linux�����。
網(wǎng)站題目:linux服務(wù)器端安全性 linux的安全性
URL鏈接:
http://weahome.cn/article/ddjsdgo.html
重慶分公司
重慶分公司
