LinuxベースのオペレーティングシステムがWindowsよりも安全であると考えられるのはなぜですか?[閉まっている]


19

Linuxベースのシステムはセキュリティに優れていると聞きました。どうやら彼らはウイルスを持っていないし、ウイルス対策ソフトウェアを必要としません。私の大学でさえこれを主張しています-彼らはサーバー上にWindowsを持つことを拒否しています。これは、.NETフレームワークを使用していくつかのWebサイトを作成したかったので、本当に残念です。

Linuxの方が安全だとわかる唯一の理由は、Linuxがオープンソースであるためです。したがって、理論的にはバグが理論的に早く発見され、修正されます。

オペレーティングシステムがどのように機能するかについては少し知っていますが、LinuxとWindowsがどのようにOSを実装するかについてはあまり詳しく調べていません。Linuxベースのシステムをより安全にする違いを誰かが説明できますか?


5
私はあなたの質問に正確に答えているわけではありませんが、あなたの学校の選択を少し守りたいです。私の学校は、共通のファイルシステムを共有しようとするWindowsシステムとLinuxシステムの両方を運用しています。しかし、実際には、ネットワーク上のウィンドウとUNIXドメインが実際にはうまくいかないため、これは高価になる可能性があります。Windowsユーザーが反対側(.netについてはごめんなさい)よりもいくつかのオープンソースコンポーネントを使用する必要があることを考えると、サーバーのようなコア基盤ハードウェア上でLinuxのみをサポートすることは立派な選択です。Linuxは、今日最も重要なサービスをサポートしています
Notmyfault

ご回答ありがとうございます。また、他のレスポンダーにも感謝します。記録のために、私は大学の主張に怒っているよりも懐疑的でした。
echoblaze

回答:


55

オペレーティングシステムは「安全」だとは思わない。オペレーティングシステムの特定の構成には、攻撃に対する特定の程度の耐性があります。

私はここで「Microsoftの謝罪者」であることにflameりを感じるでしょうが、このスレッドは「Windows」についての真実ではない一般化に向けて非常に頑固です。

Windows 1.0-3.11、95、98、およびMEはDOSに基づいています。このオペレーティングシステムの系統には、正式な意味でのセキュリティはありませんでした(保護されたアドレススペース、カーネル/ユーザーモードの分離など)。幸いなことに、今日の「Windows」について話しているとき、これらのオペレーティングシステムについては話していません。

オペレーティングシステムのWindows NTファミリ(Windows NT 3.5、3.51、4.0、2000、XP、2003、Vista、2008、および7)には、1992年の最初のリリース以降、非常に合理的なセキュリティシステムが「設計」されています。 TCSEC「オレンジブック」を念頭に置いて設計されており、完璧ではありませんが、合理的に設計され実装されていると思います。

  • Windows NTは最初から「マルチユーザー」でした(ただし、複数のユーザーが同じサーバーから同時にグラフィカルユーザーインターフェイスを受信する機能は、Windows NT 3.51時代のCitrix WinFrameまでは発生しませんでした)。カーネル/ユーザーモードの分離があり、MMUおよびCPUの基盤となるハードウェア機能に依存するアドレススペース保護があります。(これは非常に「Unix-y」ですが、実際には非常に「VMS-y」です。)

  • NTFSのファイルシステム許可モデルは非常に「リッチ」であり、「継承」(またはその欠如-NTFSのMove / Copy設計の欠陥を回避する方法を参照してください)に関連するいくつかの欠点がありますが、それまではありませんでしたUnixスタイルのオペレーティングシステムが同様の機能を実装した最後の10年ほど。(Novell NetWareは、Microsoftを打ち負かしてこれを打ち負かしましたが、MULTICSはどちらも打ち負かしたと思いますが...>笑顔<)

  • 開始/停止/一時停止サービスプログラムへのアクセスを制御する許可システムを含むサービス制御マネージャーは、非常に適切に設計されており、さまざまな「init.d」スクリプト「architectures」(「紳士協定」のようなものよりもはるかに堅牢です) ")多くのLinuxディストリビューションで。

  • エグゼクティブオブジェクトマネージャー( http://en.wikipedia.org/wiki/Object_Manager_(Windows))は、/ procファイルシステムと/ devファイルシステムを合わせたものに大雑把に似ていますが、ファイルシステムに似ており、はるかに豊富なACLモデルを持っていますLinuxディストリビューションの/ procまたは/ devで認識している許可モデル。

  • レジストリのメリットとデメリットについては議論できますが、レジストリ内のキーのアクセス許可モデルは、/ etcディレクトリ内のファイルにアクセス許可を設定するモデルよりもはるかにきめ細かです。(私は特にロブ・ショートのコメントが好きです:彼の「ビハインド・ザ・コード」インタビューのレジストリ:http://channel9.msdn.com/shows/Behind+The+Code/Rob-Short-Operating-System-Evolution Robは、最初はWindowsレジストリの背後にいた主な人物の1人でしたが、そうではないと言っても安全だと思いますどうしてどうなったのか、必然的に幸せだ。)

Linux自体は単なるカーネルですが、WindowsはLinuxディストリビューションにより類似しています。リンゴとオレンジを比較して、そのように比較しています。Windowsは、一部のLinuxベースのシステムよりも「ストリップダウン」するのが難しいことに同意します。一方、一部のLinuxディストリビューションは、多くの「がらくた」もオンにして出荷されます。Windowsのさまざまな「組み込み」フレーバーの出現により、Microsoftのデフォルト(さまざまなサービス、デフォルトのアクセス許可の変更などを除く)と動作が異なるWindowsの「ディストリビューション」を構築できます(一般公開ではありません) 。

Windowsのさまざまなバージョンには、適切に選択されていないデフォルト、権限のないユーザーが特権を取得できるバグ、サービス拒否攻撃などがあります。Unixカーネル(およびデフォルトでrootとして実行される多くのUnixベースのアプリケーション)には、同じ問題。Microsoftは、Windows 2000以来、アプリケーションの区分化、最小限の特権でのプログラムの実行、およびOSの不要な機能の削除を容易にするという驚くべき仕事をしてきました。

要するに、私が言っていることは、セキュリティに関して、あなたのニーズに合った特定のオペレーティングシステムの特定の構成が、使用しているオペレーティングシステムの種類よりも重要だということです。WindowsおよびLinuxディストリビューションには、セキュリティ機能に関して非常に類似した機能があります。いずれのOSでも、強固なセキュリティ技術(最小限の特権、オプションコンポーネントの制限付きインストール、暗号で保護された認証メカニズムなど)を適用できます。実際に行うかどうかにかかわらず、それが重要なことです。


WindowsおよびLinuxシステムが構築されたかわかりません私のような誰かのために、あなたのポストは非常に有益だった
echoblaze

同意した。良い点。
カイルホジソン

1
+1-私は自宅のLinuxユーザーであり、主に職場のWindowsセキュリティの専門家です。構成は、それ自体がOSよりもはるかに重要であり、カーネルの「Linux」だけでなく、LinuxディストリビューションとWindowsを比較する必要があります。
ロマンダ09

3
遅い拍手 +1
chickeninabiscuit 09

長い間Windowsの世界を本当に傷つけてきたものの1つは(今ではほとんどが歴史であるとしても)、* nixの世界では単純にそのマシンでsudoerになります。問題は明らかに、ほとんどのマシンがマシンで何でもできるようにローカル管理者によって実行されたものであるということでした。ルートではなく、必要に応じてsudo / suを実行することが常によく知られている慣行でなかった場合、linux / unixにとっても同様の脅威になります。Windowsの問題ではなく、ソフトウェアの問題であり、UACではほとんど修正されていると思います。
フレドリック

16

言及されていないもう1つのことは、WindowsのセキュリティがLinuxよりもはるかに不透明であることです。

たとえば、いくつかのテキストファイルを見て、Webサーバーが実行しているものを正確に確認できます。IIS?それほど多くはありません-設定の結果はGUIツールで確認できますが、隠された設定があります。次に、ファイルなどのACLを確認するには、別のツールセットを使用する必要があります。

Windowsの世界のほとんどのプログラムと同じです。レジストリとACLの間で、ランタイム環境に何が影響しているのかを正確に理解することは非常に困難です。


11

そのファイル許可の比較について知りません...私がUNIX / Linux管理者だったとき、NT4にはUNIX / Linuxの従来の「777」スタイルの許可よりもはるかに細かいファイルACLがありました。もちろん、アクセス許可がすべてではありません。最新のLinuxディストリビューションでは、たとえデフォルトで実装されていなくても、少なくともきめの細かいACLが利用できると確信しています。私の見解では、sudoとrootの概念は常にUNIXに存在していましたが、Windowsはこれらの概念を着実に追加してきており、おそらく現在は同等です。

私自身の解釈では、Linuxカーネルコード、およびそのドライバーとユーティリティの多くは公開されているため、はるかに広範囲にレビューされ、ハッカーが悪用できるリモートの脆弱性につながる可能性のあるコーディングの誤りについては、はるかに頻繁に修正されます。とにかく私の理論では、Linuxは企業に所有されていないため、企業ができる以上にセキュリティの目標を十分に探求できるという理論があります。企業はお金を稼がなければなりません。一方、オープンソースグループにはこの制限はありません。

Linuxシステムにアクセスして、ウィンドウシステム全体、RPCデーモンなどを単純にシャットダウンする方がはるかに簡単です。LinuxまたはBSDベースのシステムを、インストールされた最小限のパッケージで1つまたは2つの開いたポートにダウンさせることができます。非常に便利なシステムを非常に簡単に使用できます。これはおそらく、開発者のOSとしてのUNIXの遺産と関係があります。すべてがモジュール式に構築され、過度に相互接続されていませんでした。これにより、関連性のないものを簡単に削除できる、はるかに構成可能なシステムが実現します。この方法でWindowsサーバーを強化するのはそれほど簡単ではないと思います。

OpenBSDグループは、この概念を極限まで持ってきました。このプログラムの最大の目標は、コードのすべての行を調べて、セキュリティ上の欠陥がないかどうかを調べることです。その証拠はプリンにあります。OpenBSDには、このほとんど熱狂的な(私は敬意を払って)細部への注意が払われているため、長年にわたって非常に少ない数の脆弱性が発見されています。

企業は素晴らしいソフトウェアを作成していますが(MSSQL、Exchange、Windows Server 2003はすべて私の本では素晴らしい)、異なる目標を持っています。


5
はい; Windows ACLは、ACLのないLinux / Unixよりもきめ細かです(ただし、最新バージョンのほとんどにはACLを使用するオプションがあります)。重要な違いは、人々は管理者としてWindowsにログインする傾向があることです-これはまだ会社提供のXPラップトップの標準セットアップです-Linux / Unixの人々はルートとしてほとんどの操作を行いません。これにより、Windowsと比較してLinux / Unixで実行できる損害が制限されます(デフォルト)。誰かがずっとルートとして走っている場合、すべての賭けはオフになります(遅かれ早かれ、後悔する-そして後悔する-事故が起こることを除いて)。
ジョナサンレフラー

「sudoとrootの概念が常にUNIXに存在し、現在はWindowsにしか近づいていないことは事実です。」あなたは何について話していますか?Windows NTはUnixほど古くはありませんが、1992年にリリースされて以来、Windows NTには非常に合理的なセキュリティが「設計」されています。多くのWindows管理者が「制限ユーザー」アカウント(彼らは、最初からあったはずでした)、しかし、それはオペレーティングシステムを気にするべきではありません。
エヴァンアンダーソン

サーバーの観点から、付与されます。しかし、一般的なWindowsユーザーは、Vistaまで合理的に快適な環境を維持するために管理アクセスを必要としていました。Vistaの「右クリック、管理者として実行」はsudoに匹敵すると見ています。
カイルホジソン

3
私はまったく同意しません。ユーザーアカウントが制限されたWindows NT 4.0以降、何千台ものデスクトップをデポジットしました。「sudo」にやや似ている「RunAs」は、Windows 2000以降のオペレーティングシステムにあります(「右クリック、実行機能」)。ユーザーアカウント制御は馬鹿げた機能であり、OSに含まれるべきではないと言うでしょう。マイクロソフトは、開発者が吸わないソフトウェアの作成(つまり、「管理者」権限を必要とする)を奨励する一方で、「管理者」として実行することを「安全」にして、より困難で苦痛なものにすることで間違ったことをしました。
エヴァンアンダーソン

2
お客様のサイトのVistaユーザーは、制限されたユーザーアカウントとして実行しているため、UACを表示しません。「管理者」として実行している場合にのみUACが表示されます。グループポリシーを使用してUACを無効にできますが、その必要はありません。
エヴァンアンダーソン

9

私の意見では、十分に構成されたLinuxベースのシステムは、Windowsシステムよりも安全です。いくつかの理由は次のとおりです。

  1. 透明性と豊富なシンプルなネットワークツール:たとえば、Linux管理者は、シェルで「iptables -L -n」と入力することで、現在のファイアウォール構成を簡単に確認できます。他のLinuxマシンから「nmap」を実行することにより、マシンで開いているポートを確認することもできます。これにより、アクセスを許可するポートやアドレスなどを非常に正確に指定できるため、作業が非常に簡単になります。

  2. 1つの場所にあるテキストログファイル:1つの場所にあるテキストベースのログファイル「/ var / log」は、バックアップと分析が簡単です。また、これらのログファイルを監視し、重要な行をメールで送信できるlogwatchなどのツールを使用すると、作業が非常に簡単になります。ログファイルを分析し、関心のある情報を見つける独自のツールを作成することもできます。ログを同じサーバーに存在させたくない場合は、ログをリモートsyslogサーバーにエクスポートすることもできます。

  3. ウイルスについて心配しないでください:Linuxベースのシステムが少ないためにウイルスがLinuxに少ないかどうか、またはすべてのユーザーがLinuxを愛しているためか、Linuxがより安全であるためです。理由は関係ありません。最後に、Linuxのウイルスの脅威が少ない場合は、Linuxについて良いことです。個人的には、同じマシンに2つのアンチウイルス、アンチスパイウェア、アンチアドウェアをインストールする人を見てきました。これらの保護ツールはすべて、多くのCPUとメモリを消費します。

  4. 多くのプログラミング言語のサポート:Linuxでのコーディングは非常に簡単です。C、C ++、Python、Perl、Javaなどは、追加のパッケージをインストールすることなく機能します。(DVDで提供されるFedoraのような大きなディストリビューションをインストールする場合。これは、コーディングにより反復タスクを実行できるため、セキュリティを強化します。したがって、間違いを犯して問題が発生した場合、すべてのアカウントに問題が発生し、検出および修正が容易になります。多数のアカウント/ディレクトリに同じ変更を手動で行う必要がある場合、1つまたは2つでミスをする可能性があり、そのようなミスを見つけるのに時間がかかる可能性があります。また、コードを使用して間違いを修正し、単純な間違いを探すことができます。すべての構成ファイル、ユーザー情報ファイル、ログファイルなどはテキスト形式であるため、達成したいものをコーディングするのは非常に簡単で、同じことを実現する方法はたくさんあります。

  5. オープンソースコード:おそらく多くの人がコードを見ているので、一部のスパイウェア/アドウェアがLinuxに付属するアプリケーションの一部であることは非常にまれです。また、一部のサービスでセキュリティが非常に重要な場合はソースコードを確認し、その機能を確認することもできます。それがどのように機能するかを正確に知っていれば、制限とそれがいつ破られるかを知っています。実際、manページ、パッケージWebサイト、および構成ファイルのコメントに文書化されている既知のセキュリティ制限がある場合。開発者は、このようなシナリオで私たちのツールを使用する場合、リスクがあると言うことを失うことはありません。ソフトウェアを販売する組織がソフトウェアの制限を伝えることは有利ではないかもしれません。また、ソフトウェアの外観が悪くなり、販売/利益が減少する可能性があります。

  6. 無料で相互運用性:これはセキュリティとは関係ありません。コストが重要な大学では、LinuxベースのシステムはWindowsベースのシステムよりもはるかに経済的であり、OSのライセンスを購入する必要はありません。また、OSのインストール後にインストールする追加ソフトウェアの購入も不要です。相互運用性に関する限り、Linuxマシンから他のOSに接続し、ファイルを簡単に共有できます。Linuxでは、FAT、NTFS、HFSPLUSを含む多くのファイルシステムをマウントできます。ftp、http、ssh、samba、nfsなどを使用して物事を共有できます。これらはすべてインストールされているか、1つのコマンドでインストールできます。他のOSは通常、物事を共有する1つのオプションのみを提供します。

しかし、Linuxベースのシステムが適切に構成されていないと、より多くの問題を引き起こす可能性があります。多くのユーザーは同時にマシンにログインし、シェルからほとんどすべてを実行できます。ファイアウォールが適切に設定されていない場合、バックドア、トロイの木馬を残すのは非常に簡単です。攻撃者はログファイルを削除したり、ログファイルを改ざんして自分のトラックを隠すことができます。攻撃者がシェルにアクセスすると、すべてのエディター、コンパイラー、デバッガーがすぐに利用できるため、攻撃者は攻撃されたマシンでコードを作成できます。すべてのサーバーftp、httpは、セキュリティで保護されたポート(1〜1024)ではなく、ユーザーアカウントから実行できます。そのため、攻撃者はhttpサーバーコードをダウンロードしてコンパイルし、ポート6000でhttpサーバーを実行してXサーバーのように見せることができます。

そのため、管理者が何をしているのかを管理者が知っているか、少なくとも新しい変更を行う前にマニュアルページやドキュメントで情報を調べることに煩わされていれば、Linuxシステムはより安全です。


6

サーバーのセキュリティはOSだけではありません。サーバーのセキュリティにおけるより大きな要因は、サーバーを実行している人と、彼らが物事をロックダウンすることにどれだけ注意を払っているかということです。

つまり、大学がLinuxショップである場合、Windowsサーバーのセキュリティでどのようなデータを見つけても、Windowsサーバーを使用することはできません。.Netフレームワークを使用する場合は、Mono(www.mono-project.com)を使用して調査します。


6

透明性

  • 走る ps auxfと、どのサービスがどのアカウントでれているかがわかります。
  • 走る netstat -lnpと、どのプログラムがどのTCPポートを開いているかがわかります。
  • 走る iptables -Lと、ファイアウォールのルールがわかります。
  • 実行straceまたはlsof、プロセスアクティビティを検査します。
  • 実行ls -lahまたはtree -pugをと、完全なフォルダーの所有権とアクセス許可が正確にわかります。
  • ログがあります /var/logおり、簡単な「ファイルを検索する」で検査できます。
  • 隠された設定はありません。すべては人間が読める形式です/etc。テキストファイルの検索、アーカイブ、またはバージョン管理(subversion / git)の適用は非常に簡単です。

明確な許可システム

  • ベースには、ファイル許可のみがあります。「正規表現キーの許可」、継承されたACLアクセス許可、プロセスごとのセキュリティコンテキスト、またはその他の隠された機能はありません。
  • 許可ビットは簡単です:
    • ファイルへの書き込み=ファイルの内容の編集
    • フォルダーへの書き込み=ファイルノードの作成/名前変更/削除。
    • スティッキー=自分のファイルのみを編集します。
    • 実行またはsetuidアクセス許可を持つファイルが強調表示されます(lsカラーモード)。
  • 単純な「すべてのファイルを検索」することで、ユーザーが持っている権限が明らかになります。
  • さらに、ACLは必要な場合にのみ使用できます。
  • ユーザーアカウントには、デフォルトでファイルを書き込む場所が2つだけ$HOMEあり/tmpます。

高度なセキュリティオプション

  • SELinux / AppArmorは、プロセスを特定のファイルセットにのみアクセスするように制限できます(ファイルアクセス許可に加えて)
  • Chroot刑務所により、管理者は他のプログラムから完全に分離されたプログラムを実行できます。本当に必要なファイルだけで、空のハードドライブにインストールされているかのように。
  • を使用するとsudo、ユーザーとプロセスにいくつかの管理コマンドのみを実行する権限を付与できます。

入場と特権昇格のための単一ポイント

  • プロセスは、それ自体でそれ以上の特権を取得することはできません。唯一の方法は、別の「SetUID Root」プログラムを実行することです。たとえば、sudo最初にPolicyKitをチェックするDBusサービスにアクセスするか、DBusサービスにアクセスします。これらのSetUIDプログラムは、単一の「すべてのファイルを検索」コマンドで見つけることができます。
  • プロセス間のIPCはかなり制限されており、攻撃ベクトルが削減されます。
  • システムへのアクセス(テキストコンソール、リモートデスクトップ、RPC、コマンド呼び出しの削除など)はすべてを通じて行われsshます。これは、公開/秘密キーチェックを使用したSSLトンネルです。

安全なバックグラウンドプロセス

  • バックグラウンドサービスは、できるだけ低い権限で実行されます。Apache、Dovecot、Postfixなどのサービスは、着信接続をできるだけ早く低特権プロセスに引き渡します。
  • デフォルトでロックダウンされています。Microsoftは、Windows Server 2008でもこのアプローチを採用しています。

優れた監査ツール

  • のようなツールはnmapncatセキュリティ監査を簡単にします。
  • バックグラウンドサービスは、コマンドラインから監査できます。
  • ログ監査ツールは一般的です。
  • セキュアなサービスのコーディングは、モジュール方式で実行できるため簡単です。
  • 多くの無料の侵入検知ツールが利用可能です。
  • コマンドラインツールはスクリプト化できるように設計されているため、管理者はタスクを自動化できます。

良いセキュリティ更新

  • オペレーティングシステムのすべての部分がセキュリティアップデートを受け取ります。Apache、Python、またはPHPがパッケージマネージャーを介してインストールされると、更新も取得されます。
  • セキュリティ更新プログラムが修正する内容には多くのオープン性があるため、それがどのように影響するかを理解できます。
  • ソフトウェアパッケージはすべて同じライブラリを共有します。それらは別個のコピーを出荷せず、悪用可能なバージョンを残します。
  • 火曜日のパッチはありません。ハッカーがすでにバグを悪用しているときに修正を待っています。
  • 開発者は、セキュリティ更新プログラムを簡単にテストして展開できます。
  • 更新を行うために再起動をスケジュールする必要はありません。既存のプロセスがディスク上の古いデータにアクセスしている間に、ファイルを置き換えることができます。その後、再起動が必要なサービスを見つけることができます(lsof | grep =)。
  • 再インストールせずにオペレーティングシステム全体をアップグレードできます。

ここに記載されているすべてのもの、またはすべてのメインストリームLinuxディストリビューション、つまりRed Hat、Debian、openSUSE、Ubuntuなどが提供されます。


5

Linuxは初期からマルチユーザーシステムになるように設計されていたため、Windowsよりもはるかに強力な権限システムを備えています。また、管理者権限(ルートアクセス)で実行しないように設計されているため、すべてのプログラムは権限を必要としないように設計されています。つまり、アカウントが危険にさらされても、システム全体は危険にさらされません。

その一部はおそらく、Linuxを実行している人々が(一般的に言えば)より技術的であり、したがって、コンピューターがハッキングされるという愚かな間違いを犯す可能性が低いという事実に由来しています。


2
マルチユーザーとシングルユーザーのオペレーティングシステムの違い
moshen 09

7
OK、私はLinuxを12年以上使用し、UNIXのようなオペレーティングシステムをさらに長い間使用しています。私がLinuxを気に入っている限り、Windowsよりも強力な許可システムがあるとは言えません。初期のWindowsバージョンよりも優れたセキュリティモデルを備えています(つまり、常に管理者である必要はありません)が、WinNT以降には強力なアクセス許可システムがあり、これはあまり効果がありませんでした。最近のLinuxバージョンにはselinuxがあり、これはさらに強力ですが、これは比較的新しい(非常に強力な場合)追加です。
エディ

5

「セキュリティはコントロールです」

私の観点からは、Windowsの場合、Linuxの場合よりも制御が少なくなります。Windowsを強化することは...より困難です:)。ツールは使用者のスキルに依存しますが、次のことを検討します。

  • Windowsには、より高いリスクの脆弱性と自動攻撃(ウイルス、ボットネット)があります
  • Windows管理者は(侵入の恐れがあるため)妄想的である(またはそうあるべきです)ため、何らかの強化を行っています
  • Linuxのシステム管理者は、オペレーティングシステムのセキュリティを過度に信頼し、強化を忘れることがあります。
  • ハッキングされたLinuxシステムでは、Windowsシステムよりも多くのことができます。より強力なコマンドツールがあります。

したがって、WindowsよりもLinuxの方が好きですが、デフォルトのインストールを信頼すべきではないと思います。


3

これまでの投稿のほとんどは侵入に焦点を当てており、その点については良い仕事がなされました。あなたの質問のポイントの1つはウイルスに関するものでした。Linuxディストリビューションでウイルスの問題が少ない最大の理由は、LinuxとMacを組み合わせた場合よりも多くのウィンドウボックスがあることです。ウイルス作成者は、支出に見合うだけの価値を求めているため、Windows向けに作成しています。

すべてのシステムは侵入および感染することができます。インストラクターであれ他の人であれ、あなたに違うことを言う人は誰でも、愚か者はあなたを売るためにユタ州の海に面した財産を持っています。


3

最近のすべてのソフトウェアのセキュリティ修正から判断すると、問題はソフトウェアではなく、Windowsを実行しているデスクトップの数だと思います。これは、ボットネットを作成するためのターゲットです。Linuxがデスクトップスペースで実際に成長した場合、さらに攻撃されます。Mac OSXはすでにこれを見ていると思います。


2

LinuxとOpenBSDがWindowsよりも安全である可能性を秘めている非常に重要な理由が1つあります。これは、オペレーティングシステムがネットワーク攻撃からファイアウォール自体を保護する機能です。

Windowsでは、Windowsファイアウォールがパケットを拒否する前に、着信ネットワークパケットがオペレーティングシステムのかなりの部分にさらされていました。Linuxでは、IPTablesを使用するか、PFを使用するOpenBSDでは、OSが新しいネットワークパケットを受信するプロセスのかなり早い段階で不正なパケットを分離することができます。

ただし、ポートを開いてポートでサービスを実行すると(つまり、ネットワーク化されたコンピューターを便利にすると)、そのサービスを実行するコードと同じくらい安全です。


2

他のOSよりも安全なOSなどはありません。それはすべて、システムを管理する人々の知識に依存しています。

私は長年にわたって非常に才能のある* nix管理者と出会い、仕事をしてきました。彼らは非常に安全な* nixサーバーを構成することができました。ただし、それらをWindowsホストの前に置いておくと、マシンをロックダウンする方法がわかりません。同じことは逆になります。Windowsホストのセキュリティ保護については十分な量を知っていますが、* nixボックスの前に私を置いて、何をしているのかわかりません。

どちらのOSも、他のOSほど安全ではありません。確かにプラットフォームの歴史について話し、それを使用して時間の経過とともにより安全なものを議論することはできますが、10年前の* nix OSやWindows NT 4の運用環境への展開については話していません。私たちは、現代のOS(または少なくともそうすべき)と、より安全なOSについて話している。

Windowsファイアウォールに着信するパケットがLinuxファイアウォールよりもOSの多くの部分に接触していることについて、回答の中で誰かが何かを言うのを見ました。彼に質問することで、ホストで実行されているソフトウェアファイアウォールを誰が信頼しているのでしょうか?それがエンドポイント/フロントエンドファイアウォールの目的です。ネットワークを保護するため。サービスを実行しているホストには、サービスが公開されています。そのサービスが危険にさらされないようにするのは、ホストの仕事です。それは、他のパケットがインターネットからホストの他のサービスに到達するのを防ぐための、ネットワークデバイスの前の仕事です。

ネットワークが適切に保護されると、ホストで実行されているアプリケーションがどれだけ適切に保護されているかに依存します。そのアプリケーションには、悪用可能なバッファオーバーフローがありますか?公開されたアプリケーション内でOSにアクセスし、何らかの方法でより高いレベルのアクセス許可を取得する方法はありますか?それ以外の場合は、十分に保護されたアプリケーションです。ある場合は、公開する必要がある問題があります。

誰かがデータセンターの別のOSを考慮しない場合、それは無知の兆候です(すべてのWindowsショップだけでなく、すべてのLinuxショップにも行きます)。両方のOSには用途があり、そのまま使用する必要があります。どちらも他よりも良いことも悪いこともありません。(そして、はい、私たちの環境には実稼働サービスを処理するLinuxマシンがいくつかあります。)


1
私はそれがすべて管理者の知識に依存しているという意見が異なります。攻撃に対してテントから砦を守るように頼まれたら、砦には少し有利な点があると思います。ここで比較されている2つがLinuxとWindowsである場合、それらは複数のユーザーとシステムへの同時アクセスを処理するための2つの異なる哲学で設計されています。優れた管理者は欠陥を修正するのに役立ちますが、出発点としては一方から他方への利点がまだあります。
バートシルバース

1

Linuxサーバーを使用するために大学を呪う必要はありません。AdamBが述べたように、特定の要件のためにMono(www.mono-project.com)を使用してください。OSに興味のある通常の教授は、Linuxを好みます。OS愛好家でさえ、Linuxを好むでしょう。

  • セキュリティに関しては、

Linuxは現在、DAC(Discretionary Access Control)に準拠しており、よりスマートなアクセス制御システムです。他の回答で述べたように、はい、Linuxはマルチユーザー時代に遡り、そのためアクセス制御システムは他のものよりも良くなりました。

しかし、あなたが言及しているセキュリティはサーバーのセキュリティのように見えます。これはサーバーのネットワーク全体の問題よりもOSの問題ほどではありません。ここで、私はファイアウォールのアクセス制御リスト、ルーターなどを意味します...アップデートは無料で、生涯です。非常に重要であるため、多くのテストが行​​われています。

セキュリティとは別に、経済的な実行可能性により、Linuxはサーバーにとって最適なオプションになります。ただし、サーバーはほとんどありませんが、アプリケーションはサービスを実行またはホストします。そして、これらのアプリケーションは非常にうまく移植されています。たとえば、Apache。

セキュリティだけではなかったと思いますが、他のほとんどの大学がサーバーでLinuxを選択するようにする他の要因があります。


1

ここには多くのすばらしい答えがありますが、安全なオペレーティングシステムのようなものはないことも付け加えたいと思います。

人間が「安全な」プラットフォームを作成した場合、別の人間が時間とともにそのプラットフォームに穴を見つけることができることが知られています。

Evanの最初の2文がOSセキュリティを最もよく要約していることに同意します。

オペレーティングシステムは「安全」だとは思わない。オペレーティングシステムの特定の構成には、攻撃に対する特定の程度の耐性があります。

したがって、GNU / Linux、The BSDシステム(Free / Open / Net)、Microsoft、Windows、Mac OSX、Symbian、PalmOS、Cisco IOS、AIX、QNX、Solaris、z / OS、またはテレビ、MP3プレーヤー、電子レンジなどを実行するその他の「オペレーティングシステム」

これらのそれぞれには、決心した個人によって悪用される能力がある全体の一部があります。

このため、ほとんどのベンダーは、システムをできるだけ安全な構成に設定する方法に関するホワイトペーパーを用意しています。これは、表面積を最小化するために他の技術を使用することを意味します。

例えば:

  • NAT
  • 逆プロキシ
  • ファイアウォール

1
「リモートからの脆弱性が最も低い」ために、私はいつでもopenbsdに自分のお金を注ぎます。
カイルホジソン

私もあなたのお金を我慢しません!DOS <= 4(5.5より前のNDISドライバーはないと思う?)について話さない限り
ウェイン

1

フレームワークに関するオペレーティングシステムセキュリティの事実は、単なるカーネルタイプの問題ではありません。個々のフレームワークには、それぞれに準拠したセキュリティメカニズムがあります。Microsoft Windows内のマルチユーザーアカウント仕様により、大規模展開に関してもう少し柔軟性がありますが、Linuxを使用すると、権限と委任の内外を制御できます。

.NET Frameworkのセキュリティレベルは、主にグループポリシー、powershell、netshコンソールの設定に関係しています。その理由は、メモリ内の動的アクセス要求を使用した低レベルのアクセスパラメータでのカーネルテレメトリです。Linuxフレームワークでは、多くの場合、同様のレベルの注意が必要ですが、主に言語の構成時に指定するフラグに関係しています。適切に構成されたLinuxは、Microsoft Windowsで構成されたセキュリティよりも安全であることが証明されています。「まともな」レベルの構成ですが、ツールは、特定のGUIDを使用することにより、IISをまっすぐに進み、サービスに直接浸ることができます。Linux全体では、より多くのアスペクト制御が可能です

主なポイント:

inodes and NTFS index primers and permissions in Windows (including registry) 
    are easier to sift through than an EXT hardnened Linux 

protocol traversal within Linux for exception handling are easier to find 
    than a solid configured Windows Firewall. 

cache indexes within ASP.NET are easier to violate than cache management    
    technologies which are well handled within GNU and C++ libraries
    they are practically built for parallel systems now. 

SQL parse queries, have been proven over and over again; MySQL is faster. 
    than MSSQL, though Oracle has been pushing the belt. Transactional 
    security is proven to be more secure on Windows, but for performance 
    and sheer flexibility shows that MySQL should be used or something 
    along the lines of a iSQL or NSQL (not SQLAB like Berkeley SQL which 
    MSSQL is based on) 

Gateway permissions, Linux has an amazing ability to fondle packets and tiny 
    little things that Windows can only put into sorting bins. This being 
    said, if you are running a Windows network, you have more network auditing 
    than a Linux network because the packages are easier to apply walls to 
    than DLL files and protocol requests. 

Surface layer GUI, .NET Framework offers strict field definitions; while Linux 
    allows intense PCRE and other Regular Expressions. 

政府の身長:

OWASP proves over and over again that it is harder to crack a hardened Linux Server 
than it is to crack a hardened Windows Server. Why? Because the firewall and Group 
Policy does not allow as far a tuned key for aspects of the closed source framework 
within ASP.NET; Linux will let you choose a color for every letter on your command. 

NIST Shows over time that SQL management permissions are harder to parse with Windows 
while Linux PCRE makes it harder to bypass SQL queries whether it be within a GUI or 
a Web Interface. 

Carnagie Mellon shows that ASP.NET can hold higher regulations because it is built 
in a more module based context which employs the use of MVC frameworks and can potentially 
have a higher restriction. Meanwhile PHP and Java show that they are incredibly robust 
with their Obfuscation and encapsulation methodologies.

個人的な意見:

各オペレーティングシステムには、そのまま使用できる他のオペレーティングシステムよりも安全である可能性があります。LinuxまたはWindowsでより高いセキュリティで動作するフレームワークの生の比較を取ると、Webセキュリティの主要な部分は最も互換性のないが効率的なフレームワークを使用していると言わざるを得ません。この方法では、ネイティブのハードドライブアクセス許可とライブラリハンドルにラッチすることがはるかに難しくなります。これにより、オペレーティングシステムの上部に溶接されたボウルができます。エヴァンがNTFSと/ procまたは/ devの許可で言ったように。話せないものを使用する場合; 割れにくい。

Web開発から学んだことは、フレームワークを決して過小評価しないことです。.NETには、共有マウントボリュームを作成する権限と、SQL Serverクラスターの制御メカニズムがあります。一方、Apache SourceはLinuxを使用するオペレーティングシステムでも同じことを実行できます。Linuxは個々のアスペクト制御と多言語の制限と監視により多くのセキュリティを許可しますが、それはかなりまともな質問です。一方、Windowsには、高レベルのロジックデバッグインターフェイスを使用して、監査とログの広範な機能があります。どちらも比較可能であり、最終的には「どれだけうまくロックできますか」と「ベルとホイッスルがいくつあるか」に絞り込まれます。フレームワーク内。Apacheには、より多くのアドインセキュリティブーストがあります。

LinuxまたはWindowsでPHPを比較する現時点では、Linuxオペレーティングシステム内で使用できる拡張機能が他にもあることは明らかです。WindowsにはPHPとは異なるアクセス許可管理レベルがあり、ディレクトリとファイルアクセスの管理が難しくなります。たとえば、XAMPP、LAMPP、WAMPなどのApache内では、ファイアウォールの制限がWebブラウザーと同じトンネリングルールを共有しているため、Windowsの方がファイアウォールの制限に違反しやすいという事実を考えると、Windowsのセキュリティはやや劣ると感じます。一方、Linuxはアプリプールと、エミュレートがはるかに複雑なパケットレベルのセキュリティメカニズムを使用できます。Windowsでは、ネットワークをより安全にするために、オペレーティングシステムのすべての側面を使用する必要があります。

最新のSEC_ATLが混在するASP.NETを使用するWindows上のIIS(Windowsクライアントではなく、Microsoftサーバー上)も非常に安全です。

Apacheだけでも、Linuxで実行して、高レベルおよび低レベルのドライバー、SMIME、コーデック、およびパケットレベルのセキュリティを有効にすることができます。Windowsでは、数千台のサーバーを実行する場合に必要なトラフィックよりも少し多くトラフィックを詰まらせるオーバーレイセキュリティメカニズムをインストールする必要があります。

Linuxでは、カーネルがスリム化され、ネットセキュリティに最適であるほど優れています(ApacheでのNSLUGとの融合など)。

Windowsでは、Powershellモジュールのプログラミング、ASP.NETフレームワークの追加のオーバーレイセキュリティ、グループポリシーをUSGSに設定するのが好きです。なぜなら、ほとんどの場合、Linuxが自動的に拒否し、考えないトラフィックをシャットダウンする必要があるからです。約。

同様に、彼らは強いことができます。箱から出してすぐに、Linuxのライブディストリビューションは、ウィザードでセットアップされた未構成のMicrosoft Windows Serverよりも強力になります。

時間が経つにつれて、LinuxはセキュリティゲームでWindowsを追い越します。Debian 3サーバーは、Microsoft Server 2008 R2よりもすぐに強力であり、カーネルの再構築なしで同じテクノロジーをサポートできるものを推測します。Debianはまだそれを吸うことができ、私は自分の目でこれを見ました。

前に言われたように私は確信していますが。それはあなたが働くスタッフと細部に目を向けることにあります。大規模なサーバーネットワークでの作業に関しては、常に最大の違いがあります。


0

主に、Linuxはオープンソースソフトウェアを広く使用しているため、より安全な選択肢であると思われます。

簡単さは、「コミュニティ」がどこかに怪しいものが追加された場合(たとえば、openSSHが突然パスワードで家に電話をかけ始めた場合)気付かないという考えに由来します。

しかし、上記の他の人がすでに言ったことを十分に繰り返すことはできません:セキュリティは主に設定に依存しています:ファイアウォール、nullルートパスワード、PershRootLoginがsshdで有効になっている場合、誰がopenSSHがホームに電話をかけないかを気にします;)


0

短い答え:最初は、UNIXは安全であるように設計されていました。Windowsはシンプルになるように設計されました。現在、UNIXの子孫は、ユーザーにとってよりシンプルなふりをするでしょう。Windowsはより安全であるように見せかけます。

彼らはまだ会っていない


2
ああ!Windows NTの初期設計では、UNIXよりもセキュリティを重視していた。Unixは後からセキュリティを強化しました。最新のUnixライクなオペレーティングシステム(完全に新しいコードベースであるため実際には「Unix」オペレーティングシステムではないLinuxなど)は、元のUnixから大幅に改善されましたが、Windows NTは最初から設計されました米国国防総省の「オレンジブック」セキュリティ要件を満たしています。
エヴァンアンダーソン

0

Windowsの以前のバージョンでは、アプリケーションは同じアドレス空間で実行されていたため、ポインターを相互に移動できました。彼らはまた、協調的なマルチタスクに依存しており、時には協力していませんでした。

Linux / Unixの非常に初期のバージョンでさえ、アプリケーション間およびO / Sとアプリケーション層の間でパーティション分割を行いました。タスクのスライシングは、常に理想的ではありませんが、少なくとも公平でした。

したがって、より高い可用性を必要とするより堅牢なシステムのためのUnix(またはLinux)の遺産です。

これはすべて今日でも当てはまりますか?それは別の質問です。


もちろんそうではありません。WindowsがLinuxコミュニティから得る否定的な報道の多くは、実際にはそれらの以前のバージョンを直接ターゲットにしており、物事が進んでいるという事実を考慮に入れていません。coop m / tを使用したWindowsの最後のバージョンは3.1であり、DOSの心臓部で鼓動しているWindowsの最後のバージョンはMEでした。
マキシマス

0

NTは以前は不足していた多くの場所でUnixに追いついたので、ファイル許可とメモリ保護はもはや大きな差別化の問題ではありません。

しかし.... a。Unixシステムでは、すべてのデバイスへのすべてのアクセスはファイルを介して行われるため、セキュリティを簡単に管理できます。たとえば、ユーザーYを許可したまま、ユーザーXがWindowsのサウンドカードにアクセスできないようにする方法を知っていますか?Unixでは、そのようなことは簡単です。

b。ディレクトリ構造はより健全です。(たとえば、ユーザーアプリケーションには、ホームフォルダーへの書き込みアクセス権のみが必要です。)しかし、これはWindowsでも数年前から改善されています。

d。これは大事なことです。SELinux(およびTrusted SolarisおよびMac OSの「シートベルト」サンドボックス機能)。これは、NDAC(非任意アクセス制御)として知られています。これらの機能を備えたOSディストリビューションを実行している場合、本質的に2つのセキュリティ層が同時に実行されます。Unixが常に持っていた通常のDAC(許可システム)と、Windowsの最新バージョンは-そしてその上に、 SELinuxおよび同様のシステムが課す「アプリケーションファイアウォール」。たとえば、Apache Webサーバーは/ tmpへの書き込みと/ var / wwwおよび/ etc / apacheからの読み取りを許可するというポリシーを設定できます。他のすべてのディスクアクセスは拒否されます関係なく、許可の。同様に、ポート80でのみ着信接続を受け入れ、発信接続を確立できないように指定できます。そして、たとえ誰かが非常に悪いことをすることを許すバグがあっても、そしてApacheがrootとして実行されていたとしても、それは重要ではありません-ポリシーはそれを防ぎます。これには(非常に小さな)速度のペナルティが必要であり、通常とは異なる構成を使用している場合は苦痛になりますが、通常の場合、古いスタイルのUnixとWindowsの両方でセキュリティレベルを大幅に向上できます。

e。レイヤー-Unixシステムは、スワップアウト可能なより多くの個別のレイヤーとサービスで構成されています。これは、正確性とセキュリティ、交換などについて個別に分析できることを意味します。これらのほとんどについては、再起動する必要はありません。これは、サーバータイプのシステムでは大きな利点です。また、Unixシステムでは不要なものを無効(およびアンインストール)する方が簡単です。たとえば、WebサーバーボックスでGUIを実行しているのはなぜですか?攻撃対象領域を増やし、RAMを占有します。

f。Windows NTはセキュリティのためにゼロから設計されたと言っている人たちのために...それは事実です。カーネルは最初から高度なセキュリティとマルチユーザー機能で設計されましたが、主に2つの問題があります。 、および2. OSは全体として、多くの妥協を意味するレガシーWindowsアプリケーションとの互換性を持つように設計されました。Unixは常にマルチユーザーであるため、セキュリティが強化されても、アプリケーションに大きな驚きはありません。


Windows NTの「デバイスファイル」にアクセスするセキュリティは、エグゼクティブオブジェクトマネージャーに適用されたACLを介して行われます。ファイルシステムとほぼ同じACLモデルを持っています。再:あなたのポイント「a」:Microsoftの開発ガイドラインに準拠したロゴ入りアプリケーションは、ユーザーのホームディレクトリ以外の書き込みアクセスも必要としません。re: "b":WindowsのMAC機能が制限されていることに同意します。Vistaで追加された整合性レベルは、MACの形式です。「高度なファイアウォール」(これもVistaに追加されました)は、そのように設定することを選択した場合、説明した方法で発信トラフィックを制限できます。
エヴァンアンダーソン

re: "e":原則として、ソフトウェアが少ないほど失敗する可能性が少ないことに同意します。GUIを持たないWindowsの内部ビルドがありますが、Microsoftはそれらをリリースしないことを選択しました。re: "f":サードパーティの開発者はより多くの問題を抱えている 個人的には、Microsoftは動作の悪いアプリケーションについてもっと頑固にすべきだと思いますが、顧客のアプリケーションを確実に実行することになると、フリーでオープンソースのオペレーティングシステムの開発者とは異なる「スペース」に住んでいます。
エヴァンアンダーソン

re:「OS全体...互換性を持つように設計されています...」Win32はカーネルサブシステムです。NTではありません。Microsoftが望んでいた場合(または他の人にさせたい場合)、Win32サブシステム、GUIがなく、たとえば「Interix」POSIXカーネルサブシステムで起動したWindows NTの「ディストリビューション」を構築できます。NT OSの実質的にすべてのUIはWin32ベースですが、カーネルは非Win32環境を完全にサポートできます。
エヴァンアンダーソン

0

LinuxベースのシステムがWindowsシステムよりも安全であると考えられる理由はいくつかあります。

1つは所有者のスキルです。Best BuyまたはWal-mart(ここ米国)に入って、あまり考えずにコンピューターを購入すると、Microsoft Windowsが実行されます。つまり、手がかりのない人が実行するWindowsシステムの数は膨大です。(少なくともMicrosoftがネットブックで反撃したので)偶然にLinuxコンピューターを購入する人はほとんどいないため、ほとんどのLinuxユーザーはコンピューターについて何かを知っているか、コンピューターをセットアップしたことがあります。これは、自分が何をしているのかわからない人を獲得するすべての環境に適用されます。Windowsを実行していない人と、さまざまなOSを実行している人。

1つは攻撃者の数です。Microsoft Windowsは、管理が不十分なすべてのマシンがあるため、はるかに魅力的なターゲットです。価値の高いLinuxターゲットは多数ありますが、それらは一般的に適切に管理されています(価値の高いWindowsターゲットも多数あります)。合理的な概算では、一般的にLinuxコンピューターをターゲットにしている人はいません。

一つは文化です。Unix / Linux環境では、rootアカウントとユーザーアカウントには明確な区別があり、ほとんどすべての場合、rootである必要がないときにユーザーアカウントで作業します。私の経験では、この区別はWindows環境ほど強力ではありません。通常、各ユーザーは、関連付けられた特権を持つアカウントを1つ持っています。私は今、仕事用のコンピューターにいて、1つのアカウント、つまり管理者アカウントを持っています。私がすることはすべて、高い特権を持つアカウントによって行われます。Linuxボックスに戻ると、ほとんどすべてを制限付き特権アカウントで行い、必要に応じてエスカレーションします。妻は、通常のユーザーが自分が書いたものを実行する特権を持っているかどうかを確認できるように、職場のコンピューターで2つのアカウント(通常の管理者アカウントと制限付き特権アカウント)を取得することを強く主張しなければなりませんでした。

1つは、下位互換性です。Unixは安全なOSとしてはスタートしませんでしたが、早い段階でセキュリティが確保されました。Linux用のプログラムは、実際にルート機能を実行しない限り、ルートとして実行する必要はありません。一方、Windowsは、管理者アカウントを必要とする多数のプログラムを実行します。これは、開発者が実行およびテストしたものであるためです(上記の段落を参照)。これらの開発者は通常、セキュリティを意識せず、以前は正常に動作していました それが、MicrosoftがUACで解決しようとしていた大きな問題です。私はそれが特に良い解決策だとは思わないが、正直なところMicrosoftはここで良い解決策を見つけようとしていない(ここでは後方互換性を落とすことは良い解決策だとは思わない)。

これらは、セキュリティモデルのメリット、およびMicrosoftが大きなセキュリティ問題を抱えているという認識に関係なく、ほとんどの大規模なセキュリティ問題がMicrosoftシステムにあるという事実につながります。可用性ヒューリスティックにより、人々がより多くのマイクロソフトのセキュリティ問題を考えることができるという事実は、彼らの判断を偏らせます。

私の意見では、これらが正当な理由です。知識のある管理者によって実行された場合、WindowsまたはLinuxディストリビューションが他よりも脆弱であることを知らないため、実際のOSセキュリティについては触れていません。Linuxには、誰でもバグを見つけて修正できるという点でオープンソースの利点がありますが、Microsoftは、より効果的な場合とそうでない場合があるセキュリティプラクティスを制定しています。(本当に安全なOSを実行したい場合、OpenBSD、安全に努めるオープンソースOSを選びます。)両方のOSには優れた許可システムがあります(私の好みはUnixですが、他の合理的な人々は同意しません)。

もちろん、OSの安全性を下げることを検討することには、悪い理由があります。好きなOSを持っている人もいますが、他のOSを悪口にする機会を無駄にしません。一部の人々は、MicrosoftやRichard Stallmanまたは他の人や組織を嫌い、関連するOSを軽nigしています。一部の人々は、Microsoftが長年にわたって変化してきたことに気づいていません。Microsoftがセキュリティを本当に気にしなかったのはそれほど昔ではなく、WindowsはLinuxよりも安全性が低いからです。


-1

慣性以外の本当の理由はありません。私は、表面上は有効だと思われるが、Windows 3.1(95/98のみ)に適用される(セキュリティ側だけでなく)Windowsに対する議論を行う多くのLinux支持者を見てきました。

前にも言いましたが、Windowsにはもっと多くのパッチなどがあるかもしれませんが、これらは特定されたセキュリティ脆弱性の修正です。そして、あなたが心配しなければならないのは修正たものではありませんか?オープンソースであることも本質的に安全だとは思いません。独自のパッチを適用することはホームユーザーにとっては問題ないかもしれませんが、企業ユーザーまたは管理者は、さまざまなアプリで動作する(そして完全にテストされている)ことを証明し、壊れないことが証明されているReal Thingを常に必要とします次のカーネル更新。FOSSコミュニティからの修正にも同じことが当てはまります。

ですから、私の本では、それは慣性、偏見、そしてUNIX文化に埋め込まれているという代替物を排除した混合物です。


-2

Linux / Unix上のプロセスはユーザーに割り当てられた後は特権を変更できません。Windows上のプロセスはプロセス中にユーザー特権を変更し、ユーザーを変更できます。

これが、windowsがlinux / unixよりも安全性が低い理由の本質です。


2
プロセスが実行されているコンテキストに「オペレーティングシステムの一部として機能する」(SE_TCB PRIVILEGE)権限がある場合にのみ当てはまります。SE_TCB PRIVILEGEを持たないセキュリティコンテキストでプロセスを開始する場合、プロセスは別のユーザーをランダムに "偽装"(別のセキュリティコンテキストを想定するNT-ism)することはできません。正当な理由もなくSE_TCB PRIVILEGEを使用してアプリケーションを実行している場合、IMOに値するものが得られます。
エヴァンアンダーソン

したがって、セキュリティはシステム全体のルールに基づいた「コンテキスト」によって実施されます。これが、Windowsがunix / linuxよりも安全性が低い理由です。
火のカラス
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.