安全問題對(duì)于IT管理員來說是需要長期關(guān)注的。主管們需要一套框架來對(duì)操作系統(tǒng)的安全性進(jìn)行合理的評(píng)估，包括：基本安全、網(wǎng)絡(luò)安全和協(xié)議，應(yīng)用協(xié)議、發(fā)布與操作、確信度、可信計(jì)算、開放標(biāo)準(zhǔn)。在本文中，我們將按照這七個(gè)類別比較微軟Windows和Linux的安全性。最終的定性結(jié)論是：目前為止，Linux提供了相對(duì)于Windows更好的安全性能，只有一個(gè)方面例外（確信度）。無論按照什么標(biāo)準(zhǔn)對(duì)Windows和Linux進(jìn)行評(píng)估，都存在一定的問題：每個(gè)操作系統(tǒng)都不止一個(gè)版本。微軟的操作系統(tǒng)有Windows98、WindowsNT、Windows2000、Windows2003Server和WindowsCE，而Linux的發(fā)行版由于內(nèi)核（基于2.2、2.4、2.6）的不同和軟件包的不同也有較大的差異。我們本文所使用的操作系統(tǒng)，都是目前的技術(shù)而不是那些"古老"的解決方案。用戶需要記?。篖inux和Windows在設(shè)計(jì)上就存在哲學(xué)性的區(qū)別。Windows操作系統(tǒng)傾向于將更多的功能集成到操作系統(tǒng)內(nèi)部，并將程序與內(nèi)核相結(jié)合；而Linux不同于Windows，它的內(nèi)核空間與用戶空間有明顯的界限。根據(jù)設(shè)計(jì)架構(gòu)的不同，兩者都可以使操作系統(tǒng)更加安全。Linux和Windows安全性的基本改變對(duì)于用戶來說，Linux和Windows的不斷更新引發(fā)了兩者之間的競(jìng)爭。用戶可以有自己喜歡的系統(tǒng)，同時(shí)也在關(guān)注競(jìng)爭的發(fā)展。微軟的主動(dòng)性似乎更高一些――這是由于業(yè)界"冷嘲熱諷"的"激勵(lì)"與Linux的不斷發(fā)展。微軟將在下幾個(gè)月對(duì)Windows安全進(jìn)行改觀，屆時(shí)微軟會(huì)發(fā)布WindowsXP的ServicePack2。這一服務(wù)包增強(qiáng)了Windows的安全性，關(guān)閉了原先默認(rèn)開放的許多服務(wù)，也提供了新的補(bǔ)丁管理工具，例如：為了避免受到過多無用的信息，警告服務(wù)和信使服務(wù)都被關(guān)閉。大多數(shù)情況下，關(guān)閉這些特性對(duì)于增強(qiáng)系統(tǒng)安全性是有好處的，不過很難在安全性與軟件的功能性、靈活性之間作出折衷。最顯著的表現(xiàn)是：微軟更加關(guān)注改進(jìn)可用性的同時(shí)增強(qiáng)系統(tǒng)的安全性。比如：2003年許多針對(duì)微軟的漏洞攻擊程序都使用可執(zhí)行文件作為電子郵件的附件（例如MyDoom）。ServicePack2包括一個(gè)附件執(zhí)行服務(wù)，為Outlook/Exchange、WindowsMessenger和InternetExplorer提供了統(tǒng)一的環(huán)境。這樣就能降低用戶運(yùn)行可執(zhí)行文件時(shí)感染病毒或者蠕蟲的威脅性。另外，禁止數(shù)據(jù)頁的可執(zhí)行性也會(huì)限制潛在的緩沖區(qū)溢出的威脅。不過，微軟在ServicePack2中并沒有修改Windows有問題的架構(gòu)以及安全傳輸?shù)牟糠?，而是將這部分重?fù)?dān)交給了用戶。微軟的重點(diǎn)顯然是支持應(yīng)用程序的安全性。ServicePack2中增強(qiáng)的許多方面都是以O(shè)utlook/Exchange和InternetExplorer作為對(duì)象的。例如：InternetExplorer中有一個(gè)智能的MIME類型檢查，會(huì)對(duì)目標(biāo)的內(nèi)容類型進(jìn)行檢查，用戶可以獲悉該內(nèi)容中是否存在潛在的有害程序。不過這一軟件是不是能將病毒與同事的電子數(shù)據(jù)表區(qū)分開來呢？ServicePack2的另一個(gè)新特性是能夠卸載瀏覽器的多余插件，這需要終端用戶檢查并判斷需要卸載哪些插件。Outlook/Exchange可以預(yù)覽電子郵件消息，因此用戶可以在打開之前就將電子郵件刪除。另一個(gè)應(yīng)用安全的增強(qiáng)，防火墻在網(wǎng)絡(luò)協(xié)議棧之前啟動(dòng)。對(duì)于軟件開發(fā)者來說，遠(yuǎn)方過程調(diào)用中權(quán)限的改變，使得安全性差的代碼難以工作正常。ServicePack2也為Windows用戶提供了許多華麗的新特性，但是問題仍然存在：這些特性會(huì)不會(huì)對(duì)管理員甚至是終端用戶造成負(fù)擔(dān)？是不是在增加了Windows操作系統(tǒng)代碼安全性的同時(shí)讓系統(tǒng)變得更加復(fù)雜？Linux與Windows安全性能的重要結(jié)論對(duì)操作系統(tǒng)的安全性進(jìn)行定性分析，很容易包含主觀意見，得到的結(jié)論會(huì)由于過去和現(xiàn)在的經(jīng)驗(yàn)而有很大的不同。本文的目標(biāo)是給用戶提供一個(gè)框架，讓他們更多的理解Windows和Linux的安全性能。下面的分析并不全面，只是終端用戶進(jìn)行評(píng)估的起點(diǎn)。Linux和Windows在技術(shù)上不斷進(jìn)步，究竟哪個(gè)系統(tǒng)更安全的結(jié)論也會(huì)不斷變化。本文分析的結(jié)果：Linux提供了比Windows更好的安全特性?；景踩④浐蚅inux都提供了對(duì)驗(yàn)證、訪問控制、記帳／日至、受控的訪問保護(hù)實(shí)體、加密的支持。不過Linux的表現(xiàn)更好一些，因?yàn)長inux還提供了Linux安全模塊、SELinux和winbind。Linux用戶不需對(duì)內(nèi)核打補(bǔ)丁就能增加額外的安全機(jī)制。Linux在LSM之上構(gòu)建了多種訪問控制機(jī)制，例如：為應(yīng)用程序建立了單獨(dú)的空間，使它們之間相互分離，也與基本的操作系統(tǒng)隔離，這樣即使應(yīng)用程序出現(xiàn)了安全問題也不會(huì)影響操作系統(tǒng)。Linux的基本安全也可以通過應(yīng)用程序增強(qiáng)，比如Tripwire（可以定期對(duì)系統(tǒng)進(jìn)行關(guān)鍵文件的完整性檢查，如果文件的內(nèi)容或者屬性有變化就通知系統(tǒng)管理員）。Windows的限制在于基本安全是依靠MSCAPI的，在代碼簽名時(shí)信任多個(gè)密鑰。微軟的模型重點(diǎn)在于可以同時(shí)對(duì)一個(gè)產(chǎn)品使用弱加密或者強(qiáng)加密。盡管模塊不是以相同的密鑰進(jìn)行簽名，MSCAPI卻信任許多根驗(yàn)證機(jī)構(gòu)，代碼簽名也信任多個(gè)密鑰。因此只要有一個(gè)密鑰被泄露就會(huì)使整個(gè)系統(tǒng)異常脆弱。密鑰泄漏的情況：授權(quán)的代碼簽名者不小心紕漏了自己的私鑰，或者簽名機(jī)構(gòu)錯(cuò)誤的簽發(fā)了一個(gè)證書。這些情況曾經(jīng)發(fā)生，有一次Verisign錯(cuò)誤的以微軟的名義簽發(fā)了兩個(gè)證書，并將這些證書的控制權(quán)交給了未授權(quán)的個(gè)人。網(wǎng)絡(luò)安全與協(xié)議Linux與Windows對(duì)網(wǎng)絡(luò)安全和協(xié)議的支持都很不錯(cuò)。兩者都支持IPSec，這是一個(gè)運(yùn)行于IP層的開放的基于加密的保護(hù)方式。IPSec能夠識(shí)別終端主機(jī)，同時(shí)能夠?qū)W(wǎng)絡(luò)傳輸數(shù)據(jù)和加密數(shù)據(jù)的過程中的修改作出判斷。Linux下使用OpenSSH、OpenSSL和OpenLDAP，分別對(duì)應(yīng)微軟系統(tǒng)下閉合源碼的SSH、SSL和LDAP。應(yīng)用安全由于微軟IIS和Exchange/Outlook不斷出現(xiàn)的安全問題，Linux顯得更勝一籌。Apache和Postfix都是跨平臺(tái)的應(yīng)用程序，比微軟的相應(yīng)產(chǎn)品更加安全。由于Linux有內(nèi)建的防火墻使得其安全性有所增強(qiáng)，Snort也是一個(gè)優(yōu)秀的入侵檢測(cè)系統(tǒng)。關(guān)于基于x86系統(tǒng)的Linux內(nèi)核，一個(gè)很重要的特性就是IngoMolnar的exec-shield，可以保護(hù)系統(tǒng)不受緩沖區(qū)或者函數(shù)指針溢出的攻擊，從而對(duì)那些通過覆蓋數(shù)據(jù)結(jié)果或者插入代碼的攻擊程序有WindowsCE、C#/CLI實(shí)現(xiàn)和ASP.NET與VisualStudio.NET。共享源代碼計(jì)劃許可證的對(duì)象包括公司用戶、政府、合作者、學(xué)術(shù)機(jī)構(gòu)與個(gè)人。微軟的共享源代碼計(jì)劃政策屬于"可看但不可修改"，例外的情況是WindowsCE共享源代碼許可證計(jì)劃。對(duì)于公司來說，可以將基于WindowsCE的設(shè)備和解決方案推向市場(chǎng)。這是微軟共享源代碼計(jì)劃下，源設(shè)備制造商（OEM）、半導(dǎo)體提供商、系統(tǒng)集成商可以完全訪問WindowsCE源代碼的唯一項(xiàng)目。所有許可證持有者都有對(duì)源代碼的完全訪問權(quán)，當(dāng)然可以修改代碼，但只有OEM才能發(fā)布對(duì)基于WinCE設(shè)備的修改。所有其他的共享源代碼許可證持有者，如果要訪問該項(xiàng)目不允許的源代碼，需要向Redmond.Wash的微軟總部請(qǐng)示。某些用戶認(rèn)為共享源代碼計(jì)劃對(duì)于調(diào)試程序會(huì)有幫助，微軟要求編譯的時(shí)候必須在微軟總部，這不得不說是一個(gè)很大的限制。盡管微軟想盡力增加透明，如果無法編譯，就很難確定源代碼在真實(shí)的IT環(huán)境中是否能正常工作。限制用戶修改并編譯Windows的源代碼，降低了人們?cè)L問Windows共享源代碼并尋找安全漏洞的熱情。數(shù)據(jù)中心和桌面下Linux的安全收益在未來的12個(gè)月里，Linux將加強(qiáng)在數(shù)據(jù)中心的份額，并試圖沖擊微軟在桌面上的壟斷。這很大程度上是受益于Linux2.6版內(nèi)核的新特性與新功能。有了Linuxv2.6，安全框架現(xiàn)在已經(jīng)模塊化了。在這種模型下，Linux內(nèi)核的所有方面都提供了細(xì)粒度的用戶訪問控制，而以前的版本的內(nèi)核允許超級(jí)用戶完全控制?，F(xiàn)在的實(shí)現(xiàn)仍然支持root完全訪問系統(tǒng)，但完全可以創(chuàng)建一個(gè)不遵循該模型的Liinux系統(tǒng)。Linuxv2.6內(nèi)核的一個(gè)主要變化，就是新增的Linux安全模塊（LSM），用戶不需要打內(nèi)核補(bǔ)丁就能為Linux增加更多的安全機(jī)制。新版內(nèi)核，在LSM上建立了多個(gè)訪問控制機(jī)制，其中包括美國國安局（NSA）的SecuriyEnhancedLinux（SELinux）。由于國安局對(duì)操作系統(tǒng)安全與強(qiáng)制訪問控制的興趣，產(chǎn)生了SELinux。國安局的研究人員正在開發(fā)Linux的安全模塊，可以支持2.6內(nèi)核的類型加強(qiáng)、基于腳色的訪問控制、多層次安全。SELinux使用了命為"域類型強(qiáng)制"的安全模型，可以將應(yīng)用程序互相隔離，同時(shí)也與基本的操作系統(tǒng)隔離，從而限制入侵后程序或者網(wǎng)絡(luò)服務(wù)造成的影響。Linux的2.6內(nèi)核中已經(jīng)加入了對(duì)SELinux的細(xì)粒度布爾值標(biāo)簽的支持，其他的廠商也開始利用國安局的SELinux。例如，Immunix提供了一些列產(chǎn)品，包括StackGuard和子域StackGuard模塊，可以配置進(jìn)程只使用某些系統(tǒng)調(diào)用。RedHat聲稱SELinux將在RedHat企業(yè)服務(wù)器4.0的安全架構(gòu)上起重要的作用。今天，Linux的內(nèi)核中已經(jīng)有一個(gè)功能強(qiáng)大、靈活的強(qiáng)制訪問控制子系統(tǒng)。這個(gè)系統(tǒng)強(qiáng)制隔離有機(jī)密和完整性要求的數(shù)據(jù)，因此任何潛在的破壞，即時(shí)是由超級(jí)用戶進(jìn)程所造成的，都被Linux系統(tǒng)限制起來了。Linuxv2.6還提供了對(duì)加密安全的支持，包括了IPSec使用的加密API。這樣，在網(wǎng)絡(luò)和存儲(chǔ)加密時(shí)就可以使用多種算法（例如：SHA-1、DES、三重DES、MD4、HMAC、EDE、和Blowfish）。Linux對(duì)IPSecIPv4和IPv6協(xié)議的支持是一個(gè)很大的進(jìn)步。由于安全抽象到了協(xié)議層，用戶程序?qū)撛诠舫绦虻拇嗳跣杂兴档?。密碼加密模塊目前還不是Linux內(nèi)核的一部分，如果Linux真的實(shí)現(xiàn)了這樣的特性，就可以阻止未簽名的模塊被內(nèi)核訪問。現(xiàn)在仍然困擾Windows用戶的一個(gè)問題就是緩沖區(qū)溢出。Linux用戶從2.6內(nèi)核開始就會(huì)收益于exec-shield補(bǔ)丁。exec-shield可以阻止許多漏洞攻擊程序覆蓋數(shù)據(jù)結(jié)構(gòu)并向這些結(jié)構(gòu)中插入代碼的企圖。由于不需要重新編譯應(yīng)用程序就能使exec-shield補(bǔ)丁奏效，實(shí)現(xiàn)起來很方便。另外，2.6內(nèi)核中的搶占式內(nèi)核，也減少了延遲，使得Linux不但可以應(yīng)用到數(shù)據(jù)中心，甚至可以在有軟實(shí)時(shí)要求的應(yīng)用程序使用。許多Linux用戶使用的是硬件廠商和系統(tǒng)提供商的不開源的驅(qū)動(dòng)程序（二進(jìn)制模塊）。問題在于：雖然添加這些驅(qū)動(dòng)和模塊有用，對(duì)于Linux系統(tǒng)并不一定有益。例如，一個(gè)未開源的驅(qū)動(dòng)模塊有可能控制系統(tǒng)調(diào)用并修改系統(tǒng)調(diào)用表。2.6的內(nèi)核提供了特殊的保護(hù)措施，可