19 votos

¿Por qué son los sistemas operativos basados en Linux se considera más seguro que Windows?

Oigo que los sistemas basados en Linux son mejores para la seguridad. Al parecer, ellos no tienen virus y no necesita software antivirus. Incluso en mi universidad, afirma que esta - se niegan a Windows en sus servidores, lo cual es una verdadera lástima porque queríamos aprovechar el .NET framework para crear algunos de los sitios web.

La única razón por la que puedo ver que Linux es más seguro que es porque es de código abierto, por lo que errores en teoría iba a quedar atrapado y se fija antes.

Yo sé un poco acerca de cómo los sistemas operativos de trabajo, pero en realidad no han profundizado en cómo Linux y Windows implementar su sistema operativo. Alguien puede explicar la diferencia que hace que los sistemas basados en Linux más seguro?

55voto

Evan Anderson Puntos118832

No creo que un sistema operativo es "seguro". Una configuración particular de un sistema operativo tiene un grado particular de la resistencia a los ataques.

Que probablemente voy a entrar flameado, por ser un "Microsoft apologista" aquí, pero este hilo es muy rebuscado hacia generalizaciones acerca de las "Ventanas" que no son verdad.

Windows 1.0 - 3.11, 95, 98, y ME están basados en DOS. Este linaje de los sistemas operativos no tienen ninguna seguridad en el sentido formal (protegido de los espacios de dirección, de núcleo / usuario modo de separación, etc). Afortunadamente, cuando estamos hablando de "Windows" hoy no estamos hablando acerca de estos sistemas operativos.

La familia de Windows NT de sistemas operativos (Windows NT 3.5, 3.51, 4.0, 2000, XP, 2003, Vista, 2008, y 7) ha tenido un muy buen sistema de seguridad "diseñado" desde la versión inicial en 1992. El sistema operativo fue diseñado con el TCSEC Orange Book" en la mente y, aunque no es perfecta, yo creo que está bastante bien diseñado e implementado.

  • Windows NT fue "multi-usuario" desde el principio (aunque la funcionalidad de varios usuarios que reciben una interfaz gráfica de usuario simultáneamente desde el mismo servidor no sucedió hasta Citrix WinFrame en Windows NT 3.51 era). Hay un kernel / modo de usuario de separación, con la dirección de protección del espacio de confiar en el hardware subyacente funciones de la MMU y de la CPU. (Yo diría que es muy "Unix-y", pero en realidad es muy "VMS-y".)

  • Los permisos del sistema de archivos en el modelo de NTFS es muy "rico" y, a pesar de que tiene algunas verrugas en relación a "la herencia" (o la falta de ella-ver http://serverfault.com/questions/31709/how-to-workaround-the-ntfs-move-copy-design-flaw), no ha sido hasta los últimos 10 años más o menos que estilo Unix sistemas operativos han implementado una funcionalidad similar. (Novell NetWare vencer a Microsoft con el punzón en esto, aunque creo que MULTICS había dos de ellos beat... >alegría<)

  • El administrador de control de servicios, incluyendo el sistema de permisos para controlar el acceso para iniciar/detener/pausar los programas de servicio está muy bien diseñado, y es mucho más robusto en su diseño que los diversos "init.d" script "arquitecturas" (más como "caballero de los acuerdos") en muchas distribuciones de Linux.

  • El ejecutivo administrador de objetos (ver http://en.wikipedia.org/wiki/Object_Manager_(Windows)), que es vagamente otros análogos para el sistema de archivos /proc y el sistema de archivos /dev combinado, tiene una ACL modelo que es similar al sistema de ficheros y mucho, mucho más rico que cualquier modelo de permisos que soy consciente de /proc y /dev en cualquier distro de Linux.

  • Mientras que podemos debatir las ventajas y desventajas de la secretaría, la autorización de modelo para las llaves en el registro es mucho más granular que el modelo de la configuración de permisos en los archivos en el directorio /etc. (Particularmente me gusta Rob Short comentarios re: el registro en su "Detrás del Código" entrevista: http://channel9.msdn.com/shows/Behind+The+Code/Rob-Short-Operating-System-Evolution Rob fue uno de los principales de la gente detrás de el registro de Windows inicialmente, y creo que es seguro decir que él no es necesariamente feliz w/ cómo sucedieron las cosas.)

Linux es sólo el núcleo, mientras que Windows es más otros análogos para una distribución de Linux. Estás comparando manzanas con naranjas y compararlos así. Yo estaría de acuerdo en que Windows es más difícil "tira hacia abajo" de algunos sistemas basados en Linux. Algunas distribuciones de Linux, por otro lado, barco con un montón de "basura" activado, también. Con el advenimiento de los diversos "incrustados" en las versiones de Windows, es posible (aunque no para el público en general) para la construcción de las "distribuciones" de Windows que difieren en su comportamiento a partir de los valores predeterminados de Microsoft (excluyendo los diversos

16voto

chris Puntos1321

Otra cosa que no se menciona es que la seguridad en Windows es mucho más opaco que en Linux.

Por ejemplo, puedo ver un par de archivos de texto, y ver exactamente lo que mi servidor web se está ejecutando. IIS? No tanto - usted puede ver los resultados de la configuración a través de la herramienta GUI, pero no son de configuración ocultas. Entonces usted tiene que utilizar un conjunto diferente de herramientas para la revisión de las Acl de los archivos, etc.

Es lo mismo con la mayoría de los programas en el mundo de windows - es muy difícil de entender rápidamente exactamente lo que está afectando el entorno de tiempo de ejecución, entre el registro y Acl.

11voto

Kyle Hodgson Puntos1588

No sé acerca de que los permisos de archivo de comparación... cuando yo era un UNIX/Linux admin, NT4 tenido archivo ACL que eran mucho más granular de UNIX/Linux tradicional '777' permisos de estilo. Los permisos no lo son todo, por supuesto, y estoy seguro de que las modernas distribuciones de Linux, al menos, hacen de grano fino ACL disponible, incluso si no están implementado por defecto. En mi opinión, el sudo y root conceptos siempre han existido en UNIX, a pesar de que Windows ha sido la adición de estos conceptos de forma constante y son, probablemente, ahora a la par.

Mi interpretación es que, dado que el kernel de Linux de código, y muchos de sus controladores y utilidades, están abiertos - es probable sido revisado mucho más ampliamente y se fija con una frecuencia mucho mayor para la codificación de los errores que pueden conducir a vulnerabilidades remotas que un hacker puede aprovechar. La teoría, en mi cabeza, de todos modos, que desde Linux no es propiedad de una corporación, puede explorar la seguridad de meta con más detalle que una corporación puede. Las empresas deben de hacer dinero, mientras que los grupos de código abierto, simplemente, no tienen esta restricción.

Es mucho más fácil ir a un sistema Linux y simplemente apagar todo el sistema de ventanas, el demonio RPC, y así sucesivamente, usted puede conseguir un Linux o BSD sistema basado en uno o dos puertos abiertos con un mínimo de paquetes instalados y todavía tienen un sistema muy útil muy fácilmente. Esto probablemente tiene que ver más con el UNIX patrimonio como desarrollador del sistema operativo; todo ha sido construido para ser modular, no demasiado interconectados. Esto conduce a una mucho más configurable sistema donde usted puede simplemente eliminar las cosas que no son relevantes. No pienso que sea tan fácil para endurecer los servidores Windows de esta manera.

El grupo de OpenBSD ha llevado este concepto al extremo. El principal objetivo número uno del programa es revisar cada línea de código para posibles fallas de seguridad. La prueba está en el pudín, un muy bajo número de vulnerabilidades que se han encontrado para OpenBSD lo largo de los años debido a esto casi fanática (yo uso la palabra con respeto) atención a los detalles.

Las corporaciones, mientras que ellos son un maravilloso software (MSSQL, Exchange, Windows Server 2003 son todos maravillosos en mi libro), solo tienen diferentes objetivos.

9voto

Saurabh Barjatiya Puntos3061

En mi opinión, Si está lo suficientemente bien basado en Linux, los sistemas son más seguros, a continuación, los sistemas de Windows. Algunas de las razones son :

  1. La transparencia y la abundante simples herramientas de red: Por ejemplo, es muy fácil para el administrador de Linux a ver la actual configuración del firewall escribiendo "iptables-L-n" en la shell. También puede ver qué puertos están abiertos en la máquina mediante la ejecución de "nmap", desde otra máquina Linux. Esto hace la vida mucho más fácil, ya que usted puede de forma muy precisa especificar los puertos que están permitidos para ser accesible y de qué direcciones, etc.

  2. Archivos de registro de texto en un solo lugar: Texto basado en los archivos de registro en una ubicación "/var/log" son fáciles de copia de seguridad y analizar. También herramientas como logwatch que pueden controlar estos archivos de registro y correo electrónico de importantes líneas de hacer las cosas muy fáciles. Incluso podemos escribir nuestras propias herramientas para analizar los archivos de registro y encontrar la información que nos interesa. Los registros pueden incluso ser exportados a un syslog remoto del servidor en caso de que no queremos que los registros de estar presente en el mismo servidor.

  3. No se preocupe acerca de los virus: Si los virus son menos en Linux porque hay menos basado en Linux, sistemas O debido a que todos los usuarios están encantados con Linux o porque Linux es más seguro. La razón no importa. Si al final Linux tiene menos virus de la amenaza, entonces es una cosa buena acerca de Linux. Yo personalmente he visto a la gente de la instalación de dos anti-virus, anti-spyware y anti-adware en la misma máquina. Todas estas herramientas de protección de comer gran cantidad de CPU y memoria.

  4. Soporte para muchos lenguajes de programación: Es muy fácil de código en Linux. C, C++, Python, Perl, Java, etc. sólo el trabajo sin necesidad de instalar ningún paquete adicional. (Esto en caso de instalar un gran distribución como Fedora que viene en el DVD). Se añade a la seguridad como podemos realizar tareas repetitivas mediante la codificación. Así que si cometen el error y no es un problema, es con todas las cuentas y sería fácil de detectar y corregir. Si tuviéramos que hacer los mismos cambios a gran número de cuentas/directorios parte, podríamos hacer error en uno o dos y podría tomar mucho tiempo para encontrar este tipo de errores. También podemos corregir los errores y buscar errores simples mediante código. Dado que todos los archivos de configuración, la información de usuario, archivos de registro, etc. están en el texto es muy fácil escribir lo que queremos lograr y hay muchas formas de obtener las mismas cosas por hacer. También abundante información auténtica está disponible en las páginas man, que generalmente nos advierten acerca de las amenazas de seguridad de la configuración de los servicios de manera insegura.

  5. Abrir el código fuente: Ya que probablemente muchas personas han visto el código es muy raro que algunos programas de spyware / adware es parte de las aplicaciones que vienen con Linux. También puede ver el código fuente si la seguridad es muy importante para algún servicio, y ver cómo funciona. Si usted sabe exactamente cómo funciona, entonces usted sabe las limitaciones y cuando se va a romper. De hecho, si no son bien conocidas limitaciones de seguridad que se han documentado en las páginas man, paquete de sitio web y en los comentarios en los archivos de configuración. Los desarrolladores no tienen nada que perder en decirle que si usted usa nuestra herramienta en tal escenario, a continuación, es arriesgado. Puede que no sea lucrativo para las organizaciones que venden software para decirle a las limitaciones de software y haría que su software se ven mal y puede reducir vender/beneficio.

  6. Libre y de interoperabilidad: Aunque esto no está relacionado con la seguridad. Para la Universidad, donde los costos de la materia, basado en Linux, sistemas son mucho más económicos, a continuación, los sistemas basados en Windows y no hay necesidad de comprar licencias de sistema operativo, así como para el software adicional que íbamos a instalar después de instalar el sistema operativo. Tan lejos como la interoperabilidad se refiere podemos conectar desde Linux con otros sistemas operativos y compartir archivos fácilmente. En linux podemos montar muchos de los sistemas de archivos incluyendo FAT, NTFS, HFSPLUS. Podemos compartir las cosas a través de ftp, http, ssh, samba, nfs, etc. y todas estas cosas vienen instaladas o se puede instalar con un solo comando. Otros OS suelen proporcionar una opción de compartir las cosas.

Pero si no se configura correctamente sistemas Linux puede causar más problemas que uno puede imaginar. Muchos usuarios pueden iniciar sesión en la máquina al mismo tiempo y hacer casi todo lo que acaba de shell. Es muy fácil dejar puertas traseras, troyanos, en caso de que el firewall no está configurado correctamente. Atacante puede eliminar el archivo de registro o manipular con ellos para ocultar sus huellas. Atacante puede de código en la máquina atacada como todos los editores, compiladores, depuradores son fácilmente disponibles una vez que el atacante tiene acceso al intérprete de comandos. Todos los servidores ftp, http, se puede ejecutar desde la cuenta de usuario no sólo la seguridad de los puertos (1-1024). Así atacante puede descargar del servidor http de código, compilar y ejecutar el servidor http en el puerto 6000 a hacer que se vea como X Server.

Así que los sistemas Linux son más seguros proporcionado el administrador sabe lo que está haciendo o por lo menos se molesta en buscar información en las páginas man y documentación antes de hacer algún cambio.

6voto

Adam Brand Puntos4827

Servidor de seguridad es mucho más que el OS. Yo diría que un mayor factor de seguridad del servidor es la persona que ejecuta el servidor, y lo cuidadosos que han sido sobre el bloqueo de las cosas.

Dicho esto, si la universidad es un Linux de la tienda, no van a dejar de utilizar un Servidor de Windows, independientemente de lo que los datos que encontramos en la seguridad del servidor de Windows. Me gustaría investigar el uso de Mono (www.mono-project.com) si desea utilizar el .Net framework.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: