2004-08-17 作者: 刘彬 来源:通信信息报
作为两大操作系统,Linux和Windows有着各自的优劣势,安全性同样考验着Linux。构筑系统安全性,将能给用户一个使用Linux的充分理由。
Ramen、Slapper、Scalper和Mighty这些名字听起来就像是Santa动物园中可爱的小鹿的名字,但它们不是,它们是在最近数个月来攻击过Linux服务器、利用Linux服务器发动过分布式拒绝服务攻击的蠕虫病毒的名字。以致于不少一直认为自己比Windows用户更安全的Linux用户已经感到茫然,开始怀疑自己是否是过于乐观了。
其实,我们实在非常难以客观地区分开两个不同软件系统的优劣,尤其是面对如此庞大的两个系统。Linux与Windows目前由于应用范围不同,虽然是最直接的竞争对手,但是还很难看到直面的竞争。IDC分析师克利斯-克里斯蒂安曾指出过:“Linux-Unix操作系统大都用于服务器环境之中,而Windows系统大多用于单机环境中。”用户技术水平的不同将直接影响他们对操作系统稳定性的评定。对两种操作系统的评价角度也是不同的,Linux-Unix开发商正在对系统的稳定性加以改进,发现任何问题都被认为是件好事。本文将从安全角度来谈谈Linux与Windows的优劣。
Windows中安全缺陷多的原因主要有二个,一是它还太年轻,二是使用它的用户特别多。但Linux比Windows更年轻,而且没有一个商业性的组织对它负责,Linux中的安全缺陷比Windows更多。BugTraq中与Linux有关的安全缺陷比任何一个版本的Unix或微软公司的操作系统都要多。
一种操作系统比另一种操作系统更安全的说法不符合现实世界的客观情况。开放源代码操作系统和专有源代码操作系统都面临着安全缺陷的威胁。在哪种操作系统更安全的争论中,开放源代码操作系统似乎占了上风。开放源代码操作系统的业内人士认为,尽管不开放源代码,大多数不清楚专有源代码操作系统中的安全缺陷,但这并不意味着其中不存在安全缺陷,而很可能存在着系统管理员没有意识到的更严重的安全缺陷。
客观分析,刚刚接触自由软件或者是开源软件的人,往往对其安全性存在着一定的顾虑,这是可以理解的。试想,大家都可以看源代码,如果被发现了漏洞并用来攻击我,那还得了?但是,为什么自由软件和开源软件,或者具体一些Linux有着安全的名声呢?这要从几方面来说。
笔者认为一个系统的安全性主要在于它在设计时是否将安全的观念一直放在心上。不客气的说,Windows的安全性也就是在Windows NT之后才逐步有了改善,但是它并没有将这种安全的观点引入到Windows 98这个曾经在桌面称霸的系统中,甚至连用户权限都没有明确的规定。而Linux作为类Unix系统,从最一开始,便将多用户以及权限等观念贯穿始终。从这一点看来,笔者认为Linux就比Windows安全。
即使中了木马,如果只是普通用户中了,它也不会对系统造成很大的影响,因为可能它连很多程序和文件的访问权限都没有。而实际上到了现在,拿Windows 2000和XP作为桌面的用户中,还有很多是只使用一个具有管理员权限的用户,并且XP来默认的用户的权限就是root级的,这本身就埋下了安全隐患。
但是也有人会认为这些设计上造成的缺陷又有什么呢?Linux由于用户太少,可能很多缺陷因为无人理睬而隐藏了,如果因为这点就推翻Windows,实在理由太过简单。
其实,Linux及其他开源系统软件的安全漏洞也相当严重。但必需承认的是,在操作系统这样复杂的软件体系中,要想完全没有漏洞和错误是不可能的。其他开源软件也有漏洞。对此,有资料显示:2001年OpenSSH中发现了两个漏洞,有一个佚名漏洞5年没有人修改,于是得出Linux不可靠的结论。那么,试问,那年微软又发现了多少漏洞,发了多少补丁?既然没有系统是没有漏洞的,那么就一定要有比较才能知优劣;既然现在大家都认为Linux和Windows是对头,那么姑且就比较此二者吧。2001年微软发行了Windows 2000的SP2,将 SP1和 SP2接合到一起,这总共又修补了多少个漏洞和错误呢?
大家在这里讨论安全问题,我想应该基本都是服务器方面的内容。那么不知道大家听说过LFS(Linux From Scratch)没有?就是完全从最底层建立自己的Linux,这样一来系统的更新状况和维护状况都由自己决定,而支持则来自于社区。Linux的这种高定制性也就决定了它的安全性,以及相对于商业公司的独立性。
除却安全性问题,最为关键的也是被众多人士遗忘掉的还有服务问题。从这一角度来分析,目前的Windows具有绝对的优势,微软支持WindowsNT4前后共11年,而这不是linux能轻易做到的。
所谓“小荷才露尖尖角”,如今,Linux在市场上只是开始“崭露头角”,但是如何大放异彩,培养更多使用Linux的忠实用户,这还有待于Linux自身的发展和市场的进一步验证。