[转载]为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)

[转载]为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)_第1张图片

又有一段时间没写技术博文了。在前几篇博文的评论中,有若干读者催写 Linux 方面的教程。俺准备开始动手,写一点傻瓜教程(面向技术菜鸟)。
  很多人切换到 Linux 是出于安全方面的考虑。所以在写具体的 Linux 教程之前,咱们先来聊一下 Linux 安全性方面的话题。
  今天这个话题是前些年想聊但是一直拖着没写的(请原谅俺比较懒),如今算是补上了。program-think

★事先声明

◇声明1

操作系统间的对比很容易引发口水战。
  如果你不同意俺的观点,最好能指出俺哪里说得不对,而不要仅仅停留在“口水战”层面的争吵。

◇声明2

俺在本文标题中已经明确限定了讨论范围是【桌面系统】。
  “服务器系统”或者是“移动设备的系统”【不】在本文讨论范围之内。

★预备知识

◇啥是“发行版”?

通俗地说:Linux 只是一个操作系统内核(Linux kernel),并不是一个操作系统。
  所谓的“发行版”,就是在 Linux kernel 的基础上,再加装相应的辅助性软件,使之成为一个【可用的】操作系统。
  (关于“发行版”的更多介绍,可以参见俺的另一篇《扫盲 Linux:如何选择发行版?》)

◇啥是“攻击面”?

通俗地说,系统中凡是【有可能】被攻击者利用的地方,都【有可能】存在安全漏洞。这些“地方”的总和,称之为“攻击面”。

◇啥是“攻击面”的【大小】?

这个概念相对比较好理解。
  通俗地理解:软件越多,则攻击面越大;软件所提供的“数据输入途径”越多,则攻击面越大。
  (注:上面的说法只是一直【通俗化】表达,其实并不严密;喜欢抬杠的同学,别较真哦)
  (在其它条件类似的情况下)攻击面越大,则系统被入侵的风险越大。

◇啥是“攻击面”的【确定性】?

这个概念的理解,相对费点口舌。
  所谓的“确定性”就是指攻击者对你系统中安装的软件,了解的详细程度。
  攻击者对你系统中的软件情况了解地越多越详细,那就表示“确定性”越高。
  (在其它条件类似的情况下)“确定性”越高,攻击者在实施入侵的过程中就越容易得手。

★Linux 的发行版的数量极多——可以用来降低【攻击面】的“确定性”

咱们拿 Windows 7 来作为对比。
  Windows 7虽然提供了几个不同的版本(比如:家庭版、专业版、旗舰版),但是这些版本其实差别不大。
  为啥说“差别不大”捏,因为这几个不同版本的 Win7,都包含了完全相同的核心组件。【由于 Windows 的可定制性很低】,这些核心组件你是【无法】移除滴!而只要有某个核心组件出现安全漏洞,不管你用的是家庭版还是旗舰版,都会中招。
  (macOS 的情况与 Windows 类似)
  再来说 Linux。
  Linux 区别于其它操作系统(Windows、mac OS、BSD)的一大特色是:非常多的发行版。
  不同的发行版,差别非常大。这种差别不光体现在“预装的应用软件不同”,还体现在“内核的版本不同”,还体现在“内核的编译参数不同”。
  当俺对读者说:“俺用的是 Linux”,这句话【几乎没啥】信息量。通过这句话,你无法知道俺的系统中会有哪些软件,也无法知道俺的系统运行的是哪个版本的内核(kernel),更加无法知道俺系统的内核具有哪些编译参数。

★Linux 具备高度可定制性——可以用来降低【攻击面】的“大小”和“确定性”

◇降低攻击面的【大小】

Linux 相比 Windows 和 macOS 的最显著特点,是其高度的可定制性。
  找几个栗子来 show 一下:

第1个栗子:
  Linux 的某些发行版可以比较方便地重编译内核。通过编译内核,可以把很多不需要的内核模块去掉(禁掉)。这当然有助于降低攻击面。
  对于这点,Windows 是完全做不到滴(因为微软没有把 Windows 的内核开源出来);
  苹果的 macOS,虽然其内核(darwin)是开源的,也可以重编译,但是比 Linux 要麻烦。

第2个栗子:
  Linux 可以裁剪到【极致】。比如说:某个名叫 BasicLinux 的发行版可以把整个系统裁剪到只有 2.8MB,然后运行在只有 3MB 内存的 386 机器上。
  而近期的几个 Windows 版本(Win7、Win8、Win10)再怎么裁剪也还是有几百兆。
  至于苹果系统,貌似也无法像 Linux 这样裁剪(精简到只有几兆)
  把系统大幅裁剪,对关注安全的人而言并【不是】为了省硬盘(现在硬盘已经很便宜),而是为了【降低攻击面】。

◇降低攻击面的【确定性】

关于“确定性”的话题,刚才聊“发行版”的时候,已经聊过了——如果攻击不知道你用的是哪个发行版,你系统的攻击面非常不确定(确定性很低)。
  其次,就算是攻击者知道了你用的是哪个发行版,你的攻击面依然“确定性很低”——因为 Linux 的发行版很容易进行定制。
  拿 Windows & macOS 来作为对比。
  Windows 的图形界面系统是绑定在系统内核的,你无法定制它,更无法剥离它。
  对于苹果的系统,你要想把 macOS 的 GUI 系统彻底换掉,貌似有难度。
  但 Linux 就完全不同了——对 Linux 的图形化系统,从上层的“桌面环境”(desktop environment)到中间的“窗口管理器”(window manager)再到底下的“显示服务器”(display server),都是【可选的】(都有不止一个的候选项)。Linux 甚至还可以配置成【完全没有图形界面】。

★Linux 支持多样化的硬件(CPU/主板/等)——可以规避硬件的“单点风险”

◇预备知识:何为“单点风险”?

此处所说的“单点风险”是指“单点故障的风险”。
  关于“单点故障”(Single Point of Failure)这个概念,俺曾经写过一篇博文《聊聊“单点故障”——关于“德国空难”和“李光耀”的随想》。
  (为了节省篇幅,此处就不再解释了。不懂的同学请自己去看那篇)

◇预备知识:啥是硬件漏洞?

前面提到过“软件的安全漏洞”。其实除了软件,硬件也可能出现安全漏洞。
  就拿前几个月的新闻来说——高通的芯片存在一个 QuadRooter 漏洞,可以被攻击者用于“提升权限”。据说影响全球几亿部手机(相关报道在“这里”)

◇MacOS 的劣势

前几章的很多反面案例都是拿 Windows 来嘲讽;本章节,俺要拿苹果公司的 macOS 来作为反例了。
  苹果公司的商业模式有一大特色就是【软硬通吃】——Apple 的产品,软硬件都是它自己提供的。
  这么做当然有很多好处——比如说更好的用户体验。
  但是在安全方面,缺点也很明显:

  1. 攻击面的确定性非常高
  2. 软件的单点故障
  3. 硬件的单点故障

软件的话题以及“攻击面的确定性”,前面已经聊过了。这里聊一下硬件的问题。
  假设你是一个果粉,并且你家中所有的 PC 都是苹果的笔记本。
  由于苹果的笔记本,硬件都是苹果提供的,所以你没有选择的余地。这就导致你的 N 台 PC 的硬件是相似的(甚至是完全一样的)
  如果出现了一个硬件方面的安全漏洞,很有可能会导致你【所有的】苹果笔记本都中招。

◇Linux 的优势

相比 Windows 和 mac OS,Linux 支持的 CPU 类型非常非常多(有可能你听说过的 CPU,它都支持)。
  除了 CPU,Linux 对其它的硬件的支持也很全——你可以把 Linux 运行在各种各样的硬件机型中,比如说:
智能手机和平板
家用的网络路由器
电视机顶盒
树莓派(Raspberry Pi)
轿车的车载系统
大型机、中型机、小型机
......
  所以,如果某个 Linux 粉丝家中有 N 台 PC,他为了降低“硬件的单点风险”,完全可以在购买 PC 的时候,选择硬件完全不同的设备(比如一台是 Intel 的 x86 芯片,另一台是 ARM 芯片)。

★Linux 的用户群更加小众——避免了【树大招风】

三大桌面操作系统的用户数,基本上是:Windows > macOS > Linux(Linux 的用户群是三个里面最小的)
  因此,不管是民间的草根骇客还是国家级的御用骇客,如果他们要研发渗透工具去入侵【桌面系统】,他们会把最多的资源(人力/物力)用来开发针对 Windows 的渗透工具;其次才是针对 mac OS 的渗透工具;而针对 Linux 【桌面】的渗透工具是最少的。

★Linux 是开源的——有助于代码审查

开源的好处有很多。包括本文前面提到的其中几点,也是跟“开源”密不可分的。
  考虑到篇幅有限,在本章节,俺只聊开源带来的其中一个好处——代码审查(Code Review)。
  在开源社区有一个很有名的 Linus 定律:“只要有足够多的眼睛,就可让所有问题浮现(given enough eyeballs, all bugs are shallow.)”。这个定律指出了——开源对代码审查的关键作用。
  (注:其实这个定律最早的提出者不是 Linus,而是埃里克·雷蒙德——《大教堂与市集》的作者)

为了加深大伙儿的印象,俺拿 Windows 来作为反例——因为 Windows 基本上完全是【闭源】的。
  假设某个微软的程序员想要作恶——在 Windows 的某个核心模块中留下一个后门。由于 Windows 的核心模块都是【闭源】的,外界人士要想在闭源的模块中发现这个后门,难度非常大。虽然微软内部也有代码审查,但是微软内部搞代码审查的人,其人数是很有限滴,这些人的精力和工作热情也是很有限滴。所以,这类后门是很难被发现滴!
  反之,很多 Linux 发行版是完全开源的(从内核到应用软件,全部都提供源代码)。如此一来,全世界的程序员或者安全研究人员(只要愿意)都可以去看这些源代码。看代码的人多了之后,发现安全隐患的概率就会大大提升。

★有些 Linux 发行版由【社区维护】——有助于摆脱商业公司,降低隐私风险

(三大桌面系统中)只有 Linux 才存在【社区维护】这种概念。另外两大桌面系统(Windows 和 mac OS)都是由【商业公司】来维护的。
  商业公司与开源社区,有一个非常本质的区别——【商业公司要考虑盈利,而开源社区没有赚钱的压力】。
  俺博客的老读者应该知道——俺对商业公司(尤其是商业大公司)抱有某种不信任的态度,原因包括如下:

1. 商业公司会为了利润,而主动收集用户隐私
  Google 是这方面典型的【反面】教材——Google 90% 以上的利润来自“在线广告业务”。为了实现广告的【精准投放】,Google 不得不收集用户隐私,以增加对【每一个网民】的了解(Google 对你了解得越多,它投放给你的广告就越精准)

2. 商业公司会为了利润,而迫于政府压力实施监控
  永远不要忘记斯诺登曝光的棱镜门丑闻

★Linux 有更完善的软件包管理机制(此优点主要针对 Windows)——有助于避免中招

◇缺乏“软件包管理机制”的风险

长期以来,Windows 一直缺乏成熟完善的软件包管理机制。很多菜鸟想要装软件,不外乎如下步骤:
1、先到百度上搜一下
2、找到某个下载站点
3、把软件下载下来
4、安装
5、使用
  上述这种操作步骤,【至少】存在两个安全缺陷:

缺陷1:软件下载站点提供的安装包,【未必】是纯洁的(可能已经被人做了手脚)
  解释:
  有的软件下载站点(或网盘),本身就是黑店——它们提供的软件包本身是植入后门的;
  还有的软件下载站点(或网盘),因为管理员的疏忽——在收集软件包的时候没有仔细检查,混入了病毒/木马。
  举例:XcodeGhost 事件
  此事的根源在于:因为苹果公司官方的 Mac App Store 被 GFW 封锁,很多国内的程序员无法从 Mac 官网下载 Xcode(这是苹果系统的开发工具),有的程序员为了省事儿,直接通过墙内的网盘下载 Xcode。其中有些人下载到的 Xcode 是带有病毒/木马的。然后这些粗心的程序员又用这个带毒的 Xcode 去开发 iOS 应用,结果导致开发出来的 iOS 应用也是带毒的。
  受波及的 app 【至少】包括:微信、网易云音乐、滴滴打车、高德地图、12306、中信银行、同花顺......(大公司倒下一片)

缺陷2:软件下载过程中,【可能】被篡改
  解释:
  如果下载过程中的传输是基于【明文的】HTTP 或 FTP,那么就存在【下载过程中被篡改】的风险。
  举例:黑暗幽灵木马(DCM)

缺陷3:没有及时升级新版本
  大部分软件本身是不提供“自动升级”功能的,对这类软件,你就需要自己手动去更新到新版本。
  自己手动更新,麻烦且不说,而且每一次更新,就又重复上述这两个风险。

◇“软件包管理机制”的好处何在?

刚才介绍了——传统方式下安装软件的风险。那么“软件包管理机制”如何规避这些风险捏?
  好处1:更可信的来源
  对于一个 Linux 发行版而言,它的口碑越好,通常也说明:它提供的软件包越可靠。
  发行版的管理员是如何确保可靠性的捏?他们通常会从某个软件的官方网站直接获取“第一手材料”(减少了中间环节)。

好处2:自动的文件校验机制
  完善的软件包管理器肯定会自带“文件校验”的方式(有的是基于“散列值校验”,有的是基于“数字签名”,有的是这两种相结合)。
  有了文件校验的机制,如果软件包在下载过程中被篡改了,在【安装之前】就会被发现。

好处3:自动的软件升级机制
  几乎所有的软件包管理机制,都会帮你实现“自动升级”。总是保持自动更新,可以大大降低安全漏洞的风险。
  (关于“安全漏洞”的扫盲,可以参见《如何防止黑客》系列的其中一篇——是专介绍漏洞概念的)
  注:包管理器的的自动升级,是【独立于】软件本身的自动升级。换句话说,不管某个软件本身是否支持自动升级,包管理器都可以帮这个软件完成自动升级。

★Linux 有更严格的“文件权限”(此优点主要针对 Windows)——有助于降低病毒的流行

曾经有一个流传很广的【谬误】——因为 Windows 的用户数量大,所以才导致 Windows 下的病毒泛滥。
  要反驳这种谬误很简单——如今“Android 装机总量”已经大大超越“所有版本 Windows 的装机总量”。但是 Android 并没有出现像 Windows 那么泛滥的病毒传播。
  那么,是什么导致 Windows 的病毒泛滥捏?一个很重要的原因是——文件权限不合理:

◇FAT 文件系统,完全不支持“文件权限”

早期的 DOS 操作系统以及早期的 Win9x(Win95、Win98),只支持 FAT 格式的文件系统。而这种文件系统【不支持】文件权限。
  没有文件权限就意味着——任何一个进程都可以修改 FAT 分区中的任何一个文件。这样的系统环境,简直就是病毒的天堂。
  所以在 DOS 时代以及 Win9x 时代,病毒的流行程度很广;到了 NT 时代(Win2000 之后),开始普及 NTFS 文件系统(支持文件权限),病毒的流行程度就一下子少了很多。

◇Windows 缺乏“可执行权限”的概念

在 Windows 下,一个文件是否“可执行”是根据扩展名(exe、com、bat ...),而【不是】根据文件权限。
  相比之下,所有 POSIX 风格的操作系统(早期的 Unix、如今的 Linux、各种 BSD)都是根据专有的“可执行权限”来决定一个文件是否可以运行。
  Windows 的反例:
  很多年以前,Windows 上就流行一个低劣的骗术——把一个 exe 的可执行文件内置一个 jpg 的图标,然后再通过适当地修改文件名,伪装成一个吸引人的图片文件(此时该文件的扩展名依然是 exe,但是菜鸟通过资源管理器看这个文件,会以为是个图片)。
  那些上当的网民会直接双击该文件(想要打开图片),但其实是运行了一个恶意的可执行文件(比如病毒或木马)。
  这样的骗术之所以能成功,技术上的关键点在于——Windows 是根据文件扩展名来判断一个文件是否可执行。对于 POSIX 系统(UNIX、Linux、BSD)这样的骗术是【无法】得逞滴。

★结尾

希望看完这篇博文,可以促使某些读者把桌面系统切换到 Linux 上。
  接下来的技术博文,俺会开始写 Linux 的一些傻瓜教程。由于 Linux 的发行版差异很大,俺目前初步考虑:基于 debian 发行版来介绍这些傻瓜教程,
  如果你想要推荐其它发行版(作为傻瓜教程的基础),可以在本文留言。

原文链接:https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html

你可能感兴趣的:([转载]为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言))