Одно из ключевых различий между Unix и Microsoft Windows с точки зрения безопасности заключается в том, что высокая надежность систем Unix проистекает непосредственно из качественной архитектуры. При попытке добавить те же функции безопасности в MS Windows они реализуются как дополнения, не интегрированные в структуру операционной системы.
Например, одной из давних проблем безопасности Windows является недостаточно эффективное разграничение прав. Оно существует, и даже на уровне архитектуры, но реализовано как попало и действует нормально только при условии, что все функции пользовательского уровня работают корректно и используются непосредственно по назначению.
Модульность системы — еще одно преимущество Unix с точки зрения безопасности. В Windows многие приложения интегрированы в основные системные компоненты настолько беспорядочно, что какой-нибудь тривиальный браузерный эксплойт может получить доступ к ядру и воздействовать оттуда на работу всей системы. В Unix столь тесной взаимосвязи между компонентами системы не существует.
Некоторые могут возразить, что самые важные данные все равно хранятся в папках, доступных рядовому пользователю, а значит, разграничение прав ничего не решает. Однако те, кто так говорит, не понимают, в чем суть этой технологии. Возможности системы разграничения прав не ограничиваются защитой от заражений и блокированием доступа к правам администратора.
Вредоносное программное обеспечение, проникающее в систему по сети, не может нормально работать, потому что серверные процессы в Unix-системах, как правило, запускаются из-под специализированной учетной записи. Поэтому внедрившись через сетевой порт, вирус может влиять лишь на службу, которая этот порт использует. Это касается и многих служб, запускаемых рядовым пользователем, поскольку они меняют «владельца», когда возникает необходимость в повышении привилегий.
Для эффективной работы многих вредоносных программ требуются права администратора. Регистраторы клавиатурных нажатий (кейлогеры) — давний бич Windows, но в Unix для их работы требуется административный уровень доступа. Поэтому даже внедрившись в систему через учетную запись рядового пользователя, кейлогер не может функционировать.
Другие угрозы безопасности — руткиты, троянцы, клиенты ботнетов — тоже могут работать в Unix только с правами администратора. Отсутствие жесткого разграничения прав в Windows сводит на нет все преимущества этой технологии.
Windows очень уязвима перед вирусами и червями — отчасти потому, что выполняет за пользователя многие задачи. В результате вредоносный код запускается автоматически при выполнении совершенно не связанных с ним задач. Например, при попытке открыть файл Microsoft Word, являющийся, на самом деле, виртуозно замаскированной вредоносной программой, Windows с готовностью передает файл от Word другому процессу, необходимому для успешного запуска этой программы.
В Unix такая автоматизация по умолчанию отсутствует. Файл обычно открывается в качестве аргумента к команде, которая запускает соответствующее заявленному типу файла приложение. Поэтому при попытке запустить вредоносную программу, маскирующуюся под документ OpenOffice.org, операционная система не пытается использовать более подходящее для запуска приложение, а открывает текстовый процессор, которому, конечно же, не удастся прочитать этот файл, потому что он на самом деле не является документом.
Еще один пример неудачной автоматизации в Windows — это автозапуск. Министерство обороны США как-то раз пострадало от вируса, который был автоматически запущен при подключении к системе съемного накопителя. Автозапуск можно отключить, но это не всегда легко, да и вообще такая функциональность не должна быть активирована по умолчанию. Что еще хуже, автоматическое обновление Windows порой заново активирует отключенный автозапуск.
Все эти различия Unix и Windows с точки зрения архитектуры и безопасности иллюстрируют разительный контраст в философии разработчиков. К сожалению, похоже, что в то время как философия Unix заключается в обеспечении фундаментальной безопасности системы по умолчанию, философия Windows выражается одной фразой: «Кому сдалась эта ваша безопасность?»
И разработчики Microsoft, увы, не одиноки. Некоторые Unix-системы тоже двигаются в этом направлении. Дистрибутивы Linux типа Ubuntu с каждой новой версией все больше подтверждают распространенное представление о том, что уровень безопасности обратно пропорционален популярности. Тем не менее, еще не скоро они опустятся до столь вопиющего пренебрежения безопасностью, как Windows. Их защищает от этого близкая к Unix архитектура. К сожалению, это преимущество, вероятно, уже очень скоро сойдет на нет.
Автор: Chad Perrin
Перевод SVET
последний абзац неадекват. голое ничем неподтверждённое имхо
Меня например смущает то с какой легкостью многие проблемы в Ubuntu предлагают решать при помощи PPA. Не запускается программа? Вот на тебе ссылку на PPA, поставь от туда, та рабочая. А кто хозяин этого PPA? Можно ли ему доверять? Насколько он компетентен и не навернет ли пакет из его репозитория чего в системе? Никого это не волнует. Следующим шагом может стать то, что пользователи вообще начнут устанавливать программы из пакетов напрямую с сайтов. И далеко не всегда это будут сайты разработчиков этого ПО, но так ведь многие привыкли в винде и им так удобнее. При таком отношении от хваленой безопасности Linux мало что останется.
Популярность поддерживается и частыми релизами, когда основная задача разработчиков выпустить новую версию в срок, и когда уже не до таких глупостей, как аудит кода на качество и безопасность. Вон, недавно RC-стадию разработки выкинули. Временами кажется, что в Canonical поставили цель сделать Windows, только свой.
>безопасности обратно пропорционален популярности
А бывает иначе? Просто следует понимать где и когда она нужна, а когда важнее удобство. На ноуте, мне на безопасность плевать. На серваке, плевать на удобство. Танк безопасен, но на прогулку все не будут ездить в танках.
Согласен со всем, кроме последнего абзаца.
На мой взгляд, Ubuntu собирает всё лучшее от созданного в других системах, одновременно сопрягая полученное с существующими принципами безопасности UNIX-платформ. Этой тонкой балансировкой между удобством и безопасностью, Ubuntu позволяет привлечь широкие массы, которые в свою очередь и являются основным катализатором прогресса GNU/Linux, выходящего за рамки одного дистрибутива.
Проще говоря: нет людей - нет прогресса.
P.S.: А по поводу ppa - меня смущает любовь некоторых сисадминов к новому, экспериментальному, непроверенному, причем даже на тех звеньях, где важна стабильность. Хотя это уже в плоскости кадровой службы конкретной организации, а не вина сообщества Ubuntu или Canonical.
А как "широкие массы" могут быть "катализатором прогресса GNU/Linux"? Они же ничего не разрабатывают, не помогают переводить документацию, не особо помогают финансово, не генерируют идеи. Например, "широкими массами" массами может похвастаться Windows, но там прогресса не видно со времен XP. Вирусы, трояны, бот-неты, эпидемии и т.п. именно из-за упрощения системы безопасности в угоду "широким массам".
На N-количество привлеченных пользователей, находится M-количество людей, которые разрабатывают|переводят|финансируют|генерируют_идеи. Причем M окружено N-M, которые (возможно) влияют на M (например, по причине физической близости). Косвенная адресация так сказать...
Кстати, катализатор не участвует в химической реакции двух и более веществ, насколько я химию помню.
P.S.: Широкие массы в Windows влияют на разработчиков стороннего ПО, поскольку последние не могут внести улучшений в Win, а только могут "залатать дыру", создав, например, файервол, антивирь и т.п..
Почему тогда Mac OS при пользовательской базе, которая намного скромнее пользовательской базы Windows при этом намного прогрессивнее? Имхо, на прогрессивность продукта влияет только прогрессивность самих разработчиков.
А чем она прогрессивнее? Тем что POSIX? Это случайный факт. У MS была Xenix, да Win NT 4.0 --- весьма прогрессивные.
Например, микроядром.
По сравнению с виндовой та же макось имеет намного более "чистую" архитектуру. В частности -- потому что они не боятся поломать немножко своего API при выходе новой версии. В винде же до сих пор можно найти костыли, предназначенные для запуска софта ещё времён 95ой винды, а реализация многих фичей с технической т.з. оставляет желать лучшего.
На данный момент для каждой крупной ОС на рынке можно назвать свой козырь и своё слабое место.
Windows -- громадное множество софта / внутренняя кривизна
Mac OS -- мощный бренд / дороговизна железа
Linux -- свободность / низкое количество проприетарного ПО и драйверов (скажу честно -- для интересов захвата рынка это именно недостаток, хотя кто-то может это считать и преимуществом).
Вроде с драйверами в линуксе стало совсем не плохо?!
Списываю линуксы на много разнообразных компьютеров, и давненько перестал сталкиваться с проблемами с драйверами
Может везёт, конечно:)
Но пока меня радует ситуация с драйверами в линуксе, и её положительное развитие.
Вчера только списал одному гражданину второй системой убунту 11,04 вуби на новейший ноут с и7 сандибриджем.
Не завёлся только вай-фай, и то убунта через приложение "Дополнительные драйвера" нашла нужный драйверочек и установила — заработал вай-фай.
Ещё 3Д не заводилось на новой встроенной интеловской видеокарточке. Подключил через убунту-твик предлагаемый ппа-репозиторий с новыми драйверами для иксов. Скачалось-обновилось-завелось:)) Супертукскарт и опенарена забегали…
Оперативно делают! Приятно это видеть.
> Костыли
Ну смотря в какой винде. В висте их не хватает порой. Мне кажется это скорее плюс, чем минус. Если я привык работать в чем-то работать (а оно стабильно работает только в Win 95), то почему мне нужно переходить на что-то новое? Потому что так желает левая пята тов. Балмера --- это самодурство.
Мощность MacOS --- под вопросом, по крайней мере, по свидетельству некоторых товарищей. Железо старое, не и очень качественное --- долговечность низкая. Огромный плюс, что это фряха, но с дровами, которые не надо писать самому, или как-то хитро компилить.
Интересная статья для размышления "противникам последнего абзаца": As Linux becomes easier it can be more dangerous.
понастроенные 2 десятками лет (+ unix 30 лет) барьеры защиты "удобствами" долго придётся ломать.
+ мозг у разработчиков всё-таки есть. совсем крамолу делать не будут. Не надо разоряться по пустякам
Николай, чем меньше требуется от пользователя думать головой, тем выше вероятность того, что случится жопа из-за того, что юзер в нужный момент времени головой и не подумал. Это аксиома и никакие разговоры о десятилетиями возводимых "барьерах защиты" ее не отменят.
Почитайте все же статью, там яркие примеры. Взять хотя бы установщик. Раньше каждого пользователя заставляли отмечать нужное ему ПО. Разработчики Ubuntu решили лишний раз не напрягать мозг юзера и ставят набор по-умолчанию, даже то, что не нужно. Хотя одна из заповедей IT-безопасности гласит, что устанавливать нужно минимально необходимый для работы набор программ. Если в каком-нибудь приложении из состава Убунту будет найдена уязвимость, то заболеют все компьютеры под управлением Убунту.
Во-первых, разоряются на базаре. Здесь формат общения вполне спокойный. Во-вторых, если обсуждение тенденций в безопасности дистрибутивов является пустяком, то что же тогда вообще обсуждать на сайте?
Одно возражение
Вменяемые пользователи не юзают дистриб "как есть" - сперва навоодят порядок с софтом (remove-install), затем - update-upgrade. Думаю в этом случае опасность оставить уязвимость незакрытой сводится к минимуму
Для остальных есть Мастдай ;)
Отправить комментарий