你知道我已经写这个专栏有五年的时间了吗?在这五年之中都发生了些什么呢,我们看到linux的竞争者已经接受了它,而其Linux已经可以作为一个桌面平台。
在linux安全领域,也有值得注意的进展,Linux的防火墙现在已经非常成熟,大量的嵌入式防火墙设备都基于它,与安全无关的设备也大量地采用了Linux,Linux支持令人吃惊的数量众多的安全工具,使得它称为安全审计员和安全顾问最喜爱的系统,此外,Linux已经形成了基于角色的访问控制操作系统,最著名的就是NSA的SELinux。
但是Linux安全的未来是怎么样的呢?我已经写了许多有关Linux安全的现状和过去,但是还没有写过有关未来的东西,这个月,我将我想到的Linux安全将走向何方以及它应该走向何方做一下总结。
现在有什么错误吗?
近来显示大量的人开始关注Linux的安全并没有比微软的Windows操作系统安全得多,在开始交火讨论之前,让我们先解释一下这个观点,首先,作为个人来说,我认为Linux是比Windows更安全的,我已经在这个专栏的文章中反复重复过,用户在Linux下比在Windows下更容易控制他们的系统。
问题是Linux用户,与Windows用户类似,倾向于将他们的精力集中在让系统做他们想让系统做的事情上,他们太信任系统内置或默认的安全设置,那么,当不可避免的软件bug出现时,那些bug的影响趋于更广泛,比起预防来说要做的工作就更多了。
例如:如果我们运行BINDv9提供名称解析服务,将花一些工作和研究才能使其工作起来,要将其放在一个chroot环境中需要更多的努力,chroot可以将named进程放在文件系统的一个子集中运行,因此,当一个BIND漏洞被发现,大多数BIND用户可能都经历过没有放在chroot环境的痛苦,如果运行的是微软的名称解析服务—它没有BIND那么多的安全特征,那可能痛苦指数是一样的。
所有这一切都是要简单地告诉你大部分linux安全特征和功能并没有让Linux用户受益,结果是,至少按照我朋友所说的进行专业的渗透测试,攻破你普通的Redhat企业版并不比普通的Windows 2003系统困难。
这是不幸的也是让人非常吃惊的,它的代码是完全透明的,Linux仍然有类似的软件bug,一般来说和Windows的数量和频率几乎一样。和Windows一样,Linux是由成百上千的人开发出来的一大堆复杂的代码,代码越多,bug可能就会越多,不是吗?
我最近接受SearchSecurity.com采访时谈到了一篇关于微软研究基金指导的安全革新文章,研究结果表明Windows比 Linux更安全,结论主要基于常见安全bug和发行补丁的平均时间,我相信我是正确地评论了研究结果,不考虑Linux的其他安全优势,如定制能力和软件包的选择,换句话说,我感觉这个研究更多的是比较默认安装情景,而不考虑每个操作系统被它的用户进行安全加固的因素。