Сравнение безопасности Linux и Windows cybervlad // 25.05.04 14:42
Stacey Quandt опубликовал на NewsForge довольно объемную статью, в которой по целому ряду параметров сравнивается безопасность Linux и Windows. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/05/30.html] Отрадно, что статья написана без истерик и не выглядит явно заказной, а выводы (хоть и не бесспорные) удобно сведены в таблицу.
В целом статься мне понравилась, достаточно объективно, особенно в сравнении со многими другими текстами. Конечно есть неточности, но незначительные…
На месте авторов, я бы добавил еще несколько "аксиом":
1) В каждом конкретном случае будет более "безопасна" та ОС (из этих двух), которую лучше знает системный администратор;
2) Грамотный специалист, и то, и другое может настроить под спецификацию. Но для этого нужно платить Деньги, как минимум ему за работу;
3) Ни Open Source, ни Obscured Source, сами по-себе не гарантируют ни какой безопасности, надежности или чего-либо еще;
4) Windows "сконструирован" так, как в недалеком прошлом было удобно Microsoft, чтобы успешно конкурировать на рынке и получать больше прибыли. Разрабатывались те features, которые должны были лучше продаваться, а не то, что хотели архитекторы. Изменились условия, меняется и Windows;
5) Linux "сконструирован" так, как в недалеком прошлом было удобно и интересно авторам-энтузиастам. Очень и очень многие features были сделаны "на коленках". Во главе была не продуманность, а простота реализации и минимальная достаточность (90% GNU сделано так). Изменились условия, меняется и Linux;
Удачи!
А вот такая фраза - вообще бред.
06.06.04 11:18 Автор: GLx Статус: Незарегистрированный пользователь
А вот такая фраза - вообще бред.
> The Windows operating system is designed to support applications > by moving more functionality into the operating system, and by more > deeply integrating applications into the Windows kernel. В Windows всегда было четкое разграничение user и kernel mode. Такие фразы заставляют задуматься о компетентности людей, которые пишут такие статьи.
Нет не бред, вы не так поняли07.06.04 15:28 Автор: leo <Леонид Юрьев> Статус: Elderman Отредактировано 07.06.04 15:29 Количество правок: 1
Linux - это прежде всего ядро, системные вызовы к нему, и пожалуй файловая система. Все остальное, по большей части, не имеет (или не имело изначально) жесткой привязки к Linux. Большинство библиотек, используемых в Linux, можно скомпилировать и задействовать в других ОС. Сервер X-Window работает в user-mode и не является "собственностью" Linux, и видео-буфер (Frame Buffer) в Linux обслуживается в user-mode.
С Windows ситуация другая. Переориентировать подсистему Win32, со всеми её потрохами и сервисами, на другое ядро практически невозможно. "Хвосты" Win32 уже давно сидят внутри NT-ядра. Подсистема графического интерфейса Windows и DirectX работают как в kernel-mode, так и в user-mode. И вполне логично рассматривать подсистему Win32 как неотъемлемую часть ОС. Соответственно интеграция (привязка, зависимость) приложений Windows с ядром, в среднем, пожалуй больше чем в Linux. Строго говоря, это значимая часть политики Microsoft - привязать разработчиков ПО к своей архитектуре.
То, что в Windows графическая подсистема работает в kernel...07.06.04 18:19 Автор: GLx Статус: Незарегистрированный пользователь
То, что в Windows графическая подсистема работает в kernel mode, вовсе не говорит о том, что эта ОС подразумевает тесную интеграцию клиентских приложений в ядро. Приложения выполняются все равно в user mode, используя gdi32.dll. Таким образом, и в Linux и в Windows приложения напрямую не работают с ядром. Поэтому с точки зрения приложения совершенно нет разницы, в каком режиме работает та или иная подсистема. А переносить приложения на другую платформу можно только тогда, если на этих ОС одинаковые "интерфейсы" взаимодействия с чем-либо.
К тому же нельзя сказать, что в Linux в отличие от Windows есть четкое разделение kernel и user spaces. Четкое разделение есть в обеих ОС. Вот что я хотел сказать.
А вот такая фраза - вообще бред.06.06.04 22:38 Автор: Serge3leo Статус: Незарегистрированный пользователь
> А вот такая фраза - вообще бред. > > The Windows operating system is designed to support > > applications by moving more functionality into the > > operating system, and by more deeply integrating > > applications into the Windows kernel. > В Windows всегда было четкое разграничение user и kernel > mode. Такие фразы заставляют задуматься о компетентности > людей, которые пишут такие статьи.
Ну почему? В Windows достаточно развитая (по сравнению с другими популярными ОС) система регистрации модулей ядра и драйверов.
Так же MS в первых рядах начал интегрировать WEB сервера с ядром (сетевые файловые сервера отродясь все нормальные ОС интегрировали).
Конечно, есть возможность писать приложения, работающие в...07.06.04 10:31 Автор: GLx Статус: Незарегистрированный пользователь
> Ну почему? В Windows достаточно развитая (по сравнению с > другими популярными ОС) система регистрации модулей ядра и > драйверов. > > Так же MS в первых рядах начал интегрировать WEB сервера с > ядром (сетевые файловые сервера отродясь все нормальные ОС > интегрировали).
Конечно, есть возможность писать приложения, работающие в режиме ядра, такая возможность есть и в других ОС. Но из этого не стоит делать такой вывод:
> Linux differs from Windows in providing a clear separation between > kernel space and user space.
Из того что MS делает http.sys вовсе не следует, что в Windows основной путь написания приложений - интеграция с ядром.
Хм. В большинстве используемых на настоящее время систем...07.06.04 11:32 Автор: Serge3leo Статус: Незарегистрированный пользователь
> Из того что MS делает http.sys вовсе не следует, что в > Windows основной путь написания приложений - интеграция с > ядром.
Хм. В большинстве используемых на настоящее время систем (кроме Novell и ряда экспериментальных 64-битных ОС) единственный путь построить высокопроизводительное сетевое приложение - это интеграция с ядром.
И к чему там интеграция с ядром? Прироста производительности...07.06.04 14:16 Автор: GLx Статус: Незарегистрированный пользователь
> Хм. В большинстве используемых на настоящее время систем > (кроме Novell и ряда экспериментальных 64-битных ОС) > единственный путь построить высокопроизводительное сетевое > приложение - это интеграция с ядром.
И к чему там интеграция с ядром? Прироста производительности это все равно не даст, зато нестабильности системе прибавит существенно. Количество переключений из kernel в user mode таким образом не уменьшишь, если только не абсолютно все оформлять в виде драйверов (но это уж полный маразм, извините).
Тот же Web-сервер (IIS) работает в user mode, http.sys просто принимает запросы и отсылает обратно данные, а все скрипты и приложения (ASP, ASP.NET, CGI, ISAPI) выполняются в контексте user mode процессов.
Но к чему интегрировать свое приложение в kernel mode? Есть же стандартные протоколы, по которым можно передавать свои данные. Что часто требуется реализовать свой протокол? Я думаю, что нет.
Основной прирост за счёт удаления излишних операций...08.06.04 00:03 Автор: Serge3leo Статус: Незарегистрированный пользователь
> > Хм. В большинстве используемых на настоящее > > время систем (кроме Novell и ряда экспериментальных > > 64-битных ОС) единственный путь построить > > высокопроизводительное сетевое > > приложение - это интеграция с ядром. И к чему > > там интеграция с ядром?
Основной прирост за счёт удаления излишних операций копирования.
Далее по убыванию: переключение контекста (accept, recv, open, read, send, close), кэширование, управление процедурами обработки (потоками обработки).
> Прироста > производительности это все равно не даст, зато > нестабильности системе прибавит существенно.
Novell - самый быстрый и стабильный файловый сервер, несмотря на минимальные отличия между ядром и приложениями. Тоже самое можно видеть во многих ОС реального времени.
прирост есть, и очень немалый07.06.04 15:42 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Для статического контента - да, для динамического - практически нет. К тому же кроме интеграции в ядро у этого Web-сервера наверняка есть и другие отличия. Так что на основании этого рано делать какие-либо выгоды.
Да, вот что, объясни пожалуйста, откуда возьмется этот прирост в производительности в общем случае, а то,чувствую, это рассуждение на пространные темы растянется еще больше.
я привел лишь частный случай07.06.04 16:17 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
и это не подразумевает что нужно все подряд интегрировать в ядро
как показали тесты статический контент отображается быстрее у сервера Tux. Ясно что ровняться на апач не надо - у него другие цели, а вот LiteSpeed разрабатывался специально чтобы быть маленьким и быстрым веб сервером, однаком и он (он работает в usermode) не может тягаться в скорости с Tux'ом.
по поводу рассмотрения причин прироста производительности в общем случае за счет интеграции в ядро сказать мало что могу, потому как к сожалению не обладаю достаточным уровнем знаний по внутреннему устройству ОС
Прирост не только из-за kernel-mode07.06.04 15:55 Автор: leo <Леонид Юрьев> Статус: Elderman
Прирост не только из-за переноса в kernel-mode. TUX и LiteSpeed с самого начала проектировались для максимальной производительности. Я думаю что если LiteSpeed "портировать" в user-mode, то разница с Apache будет все равно значительной. С другой стороны если для Apache сделать тюнинг на использованные тесты...
P.S. А в Novel все приложения интегрировапны с ядром по определению07.06.04 11:34 Автор: Serge3leo Статус: Незарегистрированный пользователь
Непрофессиональная "маркетинговая" (по верхушкам) статья не имеющего ничего общего с реальной жизнью, т.к. сравниваются не конкретные системы, а классы систем.
Например, для Linux учитывается наличие сертификата по общим критериям, но этот сертификат получил конкретный дистрибутив Linux, который не имеет архитектуры SELinux и прочих ACL-ов.
С практической точки зрения, сравнение не несёт информации для того, кто эксплуатирует системы.
Анализа по зарегистрированным в CERT (или иными источниками) недокументированных возможностях не проведено. Так же, как и по зарегистрированным фактам успешных "атак" на системы (deface WEB-server, обращения в полицию или иных источников).
Так же нет анализа по "критическим" обновлениям систем, сколько раз необходимо обновлять систему в единицы времени, какой объем обновления и т.п.
Ну а про то, что Linux придерживается открытых стандартов в области безопасности, это просто ошибка. Скажем, Linux ACL являет из себя плохо документированную "приспособу", которая имеет отношение к POSIX.1e, как один к двум. Вот открытого кода они придерживаются, типа, если кому не нравится наше наплевательское отношение к стандартам, пусть сам правит.
Успехов.
Естественно. Она ориентирована на соответствующую аудиторию.26.05.04 13:54 Автор: cybervlad <cybervlad> Статус: Elderman
> Непрофессиональная "маркетинговая" (по верхушкам) статья не > имеющего ничего общего с реальной жизнью, т.к. сравниваются > не конкретные системы, а классы систем.
Естественно. Она ориентирована на соответствующую аудиторию.
Возможно это сделано намерено, что бы приподнять Linux30.05.04 05:20 Автор: Serge3leo Статус: Незарегистрированный пользователь
> Угу. Сразу она не поймёт, а в воспоминаниях останется > слоган: > Linux is superior > :) Зря вы так о нас )
Здравый смысл говорит о том, что хорошо и бесплатно - слова-антонимы. А кроме того в одной из рассылок или bugtraq или еще какой-то, что давно уже не приходила и не помню как зовут, был листок со статистикой успешных атак на различные операционки, так вот в нем список с уверенным отрывом от даже (страшно сказать!!!) Виндов возглавили различные модификции Линуха. Кстати, не сочтите за рекламу, но Novell если и был, то где-то в конце. Меня это радует, так как мы сидим на нем довольно долго и успешно
Это не о Вас. У Вас есть здравый смысл и критическое...07.06.04 11:36 Автор: Serge3leo Статус: Незарегистрированный пользователь
> > Угу. Сразу она не поймёт, а в воспоминаниях останется > > слоган: > > Linux is superior > > :) > Зря вы так о нас ) > Здравый смысл говорит о том, что хорошо и бесплатно - > слова-антонимы. А кроме того в одной из рассылок или
Это не о Вас. У Вас есть здравый смысл и критическое исследование предмета.
На мой обывательский взгляд сравнение linux и windows
25.05.04 19:59 Автор: CyJimmy264 Статус: Незарегистрированный пользователь
На мой обывательский взгляд сравнение linux и windows
в плане security вообще представляется бессмысленным занятием.
Несомненно Linux пока круче. Ибо сколько дырок то в этих программах
от microsoft. Что аж прямо ужас какой-то.
А так спасибо им за такую оценку.
На мой обывательский взгляд сравнение linux и windows26.05.04 10:21 Автор: Прохожий Статус: Незарегистрированный пользователь
> Несомненно Linux пока круче. Ибо сколько дырок то в этих > программах от microsoft. Что аж прямо ужас какой-то.
Угу. Слово "круче" оставим для "прыщавых подростков" ... Почитайте "список" дырок. Linux - хотели как лучше, а получился хуже Windows ... (Смотрите в сторону BSD)
А само сравнение - не совсем некорректное. Радует "Open standards" (А POSIX особенно. Они-ж Services for Unix, естественно, не ставили)... Ну тогда давайте на совместимость с Windows померяем. Да ислишкомобобщённо :-( 98-е и CE зачем было приплетать ? Тогда давайте возьмем Linux для наручных часов ...
подробно о проекте
Анализ криптографических сетевых...
