不要僅僅因為linux比其他作業系統更安全就認為你的linux系統是安全的,開發人員和發行商將來能為系統管理員提供什麼幫助呢?
在這幾年之中都發生了些什麼呢,我們看到linux的競爭者已經接受了它,而其linux已經可以作為乙個桌面平台。
在linux安全領域,也有值得注意的進展,linux的防火牆現在已經非常成熟,大量的嵌入式防火牆裝置都基於它,與安全無關的裝置也大量地採用了linux,linux支援令人吃驚的數量眾多的安全工具,使得它稱為安全審計員和安全顧問最喜愛的系統,此外,linux已經形成了基於角色的訪問控制作業系統,最著名的就是nsa的selinux。
但是linux安全的未來是怎麼養的呢?我已經寫了許多有關linux安全的現狀和過去,但是還沒有寫過有關未來的東西,這個月,我將我想到的linux安全將走向何方以及它應該走向何方做一下總結。
現在有什麼錯誤嗎?
近來顯示大量的人開始關注linux的安全並沒有比微軟的windows作業系統安全得多,在開始交火討論之前,讓我們先解釋一下這個觀點,首先,作為個人來說,我認為linux是比windows更安全的,我已經在這個專欄的文章中反覆重複過,使用者在linux下比在windows下更容易控制他們的系統。
問題是linux使用者,與windows使用者類似,傾向於將他們的精力集中在讓系統做他們想讓系統做的事情上,他們太信任系統內建或缺省的安全設定,那麼,當不可避免的軟體bug出現時,那些bug的影響趨於更廣泛,比起預防來說要做的工作就更多了。
例如:如果我們執行bindv9提供名稱解析服務,將花一些工作和研究才能使其工作起來,要將其放在乙個chroot環境中需要更多的努力,chroot可以將named程序放在檔案系統的乙個子集中執行,因此,當乙個bind漏洞被發現,大多數bind使用者可能都經歷過沒有放在 chroot環境的痛苦,如果執行的是微軟的名稱解析服務—它沒有bind那麼多的安全特徵,那可能痛苦指數是一樣的。
所有這一切都是要簡單地告訴你大部分linux安全特徵和功能並沒有讓linux使用者受益,結果是,至少按照我朋友所說的進行專業的滲透測試,攻破你普通的redhat企業版並不比普通的windows2003系統困難。
這是不幸的也是讓人非常吃驚的,它的**是完全透明的,linux仍然有類似的軟體bug,一般來說和windows的數量和頻率幾乎一樣。和windows一樣,linux是由成百上千的人開發出來的一大堆複雜的**,**越多,bug可能就會越多,不是嗎?
但是我考慮得更多,我更擔心或許乙個平台的安全隱患是不能統計的,除非大多數系統執行的平台實際上觸發了隱患,嚴格來說這不是乙個終端使用者行為的作用,我也不會指責系統管理員,因為我在後面會詳述,我想linux開發人員和發行商必需繼續想出讓安全特徵更普通、透明和更容易配置和使用的方法,順便說一下,因為我正在比較linux和windows,公平起見我應該指出windows也有許多安全特徵,但使用者也很少使用它們。
好,linux和windwos在預設情況下它們都不安全,在軟體bug和安全補丁兩個都不相上下。
兩個作業系統都是使用簡單的任意訪問控制模式來進行安全設定,在這個模式下,乙個超級使用者賬號—在linux下是root,在windows下是administrator—擁有控制全部系統的權力,包括其他使用者的檔案,在這兩個作業系統中,組成員可以被用來建立不同等級的訪問,比如說,root可以進行多種授權,實際上,在大多數系統上你不得不作為特權使用者登陸或臨時變成那個使用者為了完成重要的事情。
結果,任何用特權使用者執行的程序能完全控制linux或windwos系統,但是,我是作為非特權使用者登陸配置我重要的後台程序的,這些後台程序出現了bug是不會影響到整個系統的。但是其他軟體的bug可能使得它從乙個非root程序公升級它的許可權,例如:假設你已經獲得了乙個執行apache 的web伺服器,一天乙個攻擊者控制攻擊程式攻擊乙個沒打補丁的apache緩衝區溢位漏洞,結果是攻擊者在你的伺服器上獲得了乙個shell會話,從這一點來說,攻擊者正作為www執行,因為apache是作為www執行的,假設這個系統還有乙個未打補丁的核心漏洞,那將導致本地許可權提公升。
系統管理員可能已經知道了這個漏洞,但是補丁還沒有出來,畢竟,嚴格地說是乙個本地漏洞,除你之外沒有人在這個系統上有shell許可權,誰想在給核心打補丁後不得不重新啟動呢?但是現在乙個遠端攻擊者有了乙個本地shell訪問許可權,如果他成功地利用了這個核心漏洞,他就是root了,這就是常見的入侵場景,但是使用了root-takes-all安全模組後不用再擔心這個了。
這就是linux安全的現狀,保護linux需要我們花費相當多的努力利用複雜的安全特徵,這些複雜的特徵預設情況下往往沒有啟用,要保持所有補丁都是最新的。我們在乙個好的公司裡:大多數使用現代作業系統它們擁有相同的侷限和挑戰。
從「人 從 眾」看社交網路的未來
什麼是社交 社交是指社會上人與人的交際往來,是人們運用一定的方式 工具 傳遞資訊 交流思想的意識,以達到某種目的的社會各項活動。社交是人的基本需求,而人是社交組成的元素之一。社交網路是專注於讓人們交流資訊和建立線上互動的網路。它解決了距離問題,時間問題,還提供了許多消遣的東西,能夠幫助人們交流。在社...
未來安全問題的挑戰
2010中國計算機網路安全年會定於2010年9月12日 9月15日在北京國家會議中心召開,以 對話 合作 聯動 共築網路安全 作為主題,本次會議旨在更好地介紹我國在網路安全方面的 努力及成果,切實推動網路安全國際交流與合作。在本次大會上組織了 2010中國計算機網路安全年會高峰論壇 參加論壇的主要有...
從SharePoint當前狀態看企業未來發展
microsoft sharepoint是當今最流行最有效的一款內容協作工具,其最新一代相對於前作有了大量的改進。根據cmswire的rich wood的說法,sharepoint2013 提供令人欣喜的移動和雲計算的功能。雲計算和移動裝置諸如智慧型手機和平板電腦均極大地影響著企業形態。企業支援託管...