Kontrol akses: Windows vs Linux


12

Saya membaca MIT 6.893 kuliah yang mengatakan perlindungan di Unix berantakan, tidak ada prinsip yang mendasarinya , dan juga menunjukkan bahwa Windows memiliki alternatif yang lebih baik, yang dapat memberikan hak istimewa dari satu proses ke proses lainnya melalui IPC .

Menurut pendapat saya, meskipun tampaknya pengguna Windows lebih rentan terhadap virus dan kerentanan, saya percaya itu terutama karena sebagian besar pengguna Windows kurang berpengalaman pengguna komputer dan platform Windows menarik lebih banyak penyerang karena memiliki lebih banyak pengguna.

Saya ingin tahu apakah ada artikel atau kertas yang lebih rinci yang membandingkan mekanisme dan desain keamanan di Windows dan Linux?


1
Pertanyaan yang bagus Saya telah bertanya-tanya selama bertahun-tahun bagaimana * nix dapat lebih aman karena NT memiliki prinsip keamanan mendasar yang menyatukan dan sarana yang mapan untuk memperluas keamanan dari tingkat mesin di seluruh tumpukan jaringan. * nix hanya memiliki akun pengguna, keamanan file, dan subsistem keamanan jaringan yang merupakan renungan.

4
Linux memiliki DAC dan MAC. DAC adalah akun pengguna, MAC adalah SELinux dan AppArmor.
LiraNuna

biarkan pertarungan dimulai;)
Christian

3
Keamanan tidak dimulai atau diakhiri dengan kontrol akses. Siapa pun yang menulis apa yang Anda kutip sangat berbahaya dan / atau bodoh. Ada jutaan artikel yang ditulis tentang masalah ini, jadi seharusnya tidak terlalu sulit untuk menemukan beberapa jika Anda hanya melihat.
John Gardeniers

1
Ini pertanyaan yang menarik, tapi sayangnya topik Linux vs Windows mana pun berpotensi menghasilkan kembang api, jadi saya memilih untuk menutup.
Maximus Minimus

Jawaban:


2

Tidak ada yang akan membantah bahwa menulis buffer overflows di Windows jauh lebih sulit daripada di linux. Selain itu, sistem ACL di Windows jauh lebih unggul daripada sistem * nix dalam banyak hal ( Masih dimungkinkan untuk menggunakan setpgid () untuk keluar dari chroot () / jail () dan mentransfer token psuedo-root ke UID 0 yang efektif. ).

NAMUN.

Linux, BSD, Solaris, dan AIX memiliki kelebihan memiliki tambalan buatan pengguna yang menerapkan fitur keamanan yang sangat mengesankan. Saya akan memberi nama proyek PaX / GrSEC , yang, terlepas dari kekurangan keamanan dalam beberapa tahun terakhir, telah menetapkan standar untuk menerapkan Pengacakan Tata Ruang Antariksa Alamat, Demikian juga untuk StackGuard, W ^ X dan banyak utilitas lain yang dirancang untuk mencegah Heap dan Memformat serangan string agar tidak berhasil. Secara ketat dari sudut pandang akses, Ada banyak ekstensi untuk sistem saat ini yang sudah usang.

Jika serangan divisi proses menjadi perhatian bagi Anda, Bukan berarti Crotchety Unix Admin, tetapi Windows telah menderita jauh , jauh , lebih buruk

Singkatnya, Jika Anda malas, Anda lebih baik dengan Windows. Jika Anda rajin, Anda sering lebih baik dengan * Nix (Dari perspektif keamanan)


"Tidak ada yang akan membantah bahwa menulis buffer overflows di Windows jauh lebih sulit daripada di linux"? Apakah kamu serius? Ini adalah penyebab nomor satu bug perangkat lunak Windows dan secara rutin digunakan sebagai vektor serangan.
John Gardeniers

2
Saya benar-benar berpendapat bahwa Anda lebih baik dengan apa yang Anda tahu paling baik, karena jauh lebih mudah untuk melakukan kesalahan konfigurasi keamanan pada OS yang Anda tidak kenal (akan menarik untuk melihat statistik pada berapa persentase insiden keamanan sebenarnya adalah hasil ini).
Maximus Minimus

2
@ John - Maksud saya secara prosedural, Di Linux, yang harus Anda lakukan adalah membajak EIP yang disimpan, menelurkan bash dengan pembungkus getuid (setuid ()) dan dalam 99,9% kasus non-ASLR'd / StackGuarded, Anda siap untuk Pergilah. Jika Anda pernah menulis B0Fs di Win32 / 64, Anda mengetahui masalah token yang sepele namun mengganggu dan sering mengganggu upaya stack stack, Di antara mekanisme perlindungan lain yang diterapkan MS. Juga, AFAIK, Pada akhirnya, Use-After-Frees secara substansial lebih populer untuk dieksploitasi di Aplikasi Microsoft (Mungkin karena tombol / GS). Permintaan maaf atas ambiguitas.
ŹV -

Saya senang Anda menjelaskannya, karena tentu saja bukan itu cara saya membacanya.
John Gardeniers

Alasan menulis buffer overflows di windows lebih sulit, adalah karena di versi windows kemudian banyak aplikasi bufferoveran daripada melepaskan alat secara gratis untuk menemukan overruns seperti di unix (valgrind) mereka memutuskan untuk meletakkan memori no-mans land di sekitar masing-masing Alokasi untuk mengurangi kemungkinan itu memukul beberapa memori kritis. Itu sebabnya windows 10 + 7 "tampaknya" dapat diandalkan dan "stabil".
Burung hantu

2

Berikut ini adalah artikel terperinci yang sampai ke inti permasalahan - tidak peduli seberapa kuat dan terperinci kontrol akses dan sistem keamanan Anda ... jika terlalu rumit untuk mengaturnya dengan benar, Anda akan berakhir dengan lubang keamanan. Dalam hal ini kompleksitas sistem - semakin besar 'permukaan', semakin besar kemungkinan ada bug keamanan.

Saya biasa melihat ini dengan grup domain kami - terlalu mudah untuk memberi seseorang akses ke sumber daya aman jika mereka berada di grup yang salah jika Anda memiliki terlalu banyak grup. Register menjelaskan ini lebih baik .


Tautan register memiliki beberapa ketidakakuratan faktual mengenai hal yang diperbolehkan / ditolak, tetapi sebaliknya itu adalah perspektif yang menarik.
Maximus Minimus

1

Saya ingin tahu apakah ada artikel atau kertas yang lebih rinci yang membandingkan mekanisme dan desain keamanan di Windows dan Linux?

Ini salah satu suara yang relatif baik untuk mata pemula saya ... sedikit tua dan sedikit bias, tapi tidak begitu banyak.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.