LINUX.ORG.RU

Сравнительный анализ безопасности разных операционных систем


0

0

Группа исследователей под руководством Matthew Vea опубликовала результаты тестирования безопасности обширного списка операционных систем, включающего Microsoft Windows XP, Microsoft Server 2003, Microsoft Windows Vista Ultimate, Apple Mac OS Classic, Apple OS X 10.4 Server, Apple OS X 10.4 Tiger, FreeBSD 6.2, Solaris 10, Fedora Core 6, Slackware 11.0, Suse Enterprise 10, Ubuntu 6.10 Desktop/Server и др. Исследование проводилось с использованием программ Nessus, Nmap и набора соответствующих эксплойтов:). Также учитывалась степень критичности обнаруженных уязвимостей, и скорость их латания производителями ОС.

Результаты, представленные в виде графиков, говорят в пользу ОС с открытым исходным кодом. Также были высказаны интересные мысли по поводу "эзотерической природы Unix/Linux систем" и роли Линукса на десктопах:)

>>> Подробности

В статье нет никаких графиков и никаких выводов. Там просто описано, где какие порты открыты по умолчанию. И рассказано, что всё это потенциальные уязвимости. Утверждение, мягко говоря, спорное. Только если бы авторы владели арифметикой 1-го класса начальной школы, они осили бы озознание того, что в Венде портов по умолчанию открыто меньше всех.

wa
()

>Также были высказаны интересные мысли по поводу "эзотерической природы Unix/Linux систем"

Карму очищает, сглаз-порчу снимает. :)

Salv
()

бред какой-то. Какая разница какие порты открыты в системе. Если у меня открыт rpc к примеру, то это не значит, что у меня потенциально одно уязвимое место в системе, потому что на rpc может висеть огромная гроздь сервисов.

anonymous
()
Ответ на: комментарий от wa

Кто-то еще ходит по ссылкам?:)

Про выводы - протрите глаза:), и посмотрите внизу, последняя часть под заголовком "Closing". А насчет графиков действительно попутал - там изображен "Estimated Operating System market share", т.е. распространенность разных систем, а не уязвимости.

Mousehouse
() автор топика
Ответ на: комментарий от wa

>Венде портов по умолчанию открыто меньше всех

Вот только даже эти два - MS RPC и netbios - по количеству уже найденных и потенциальных дыр в реализации сервисов на них слущающих дадут фору всем отстальным сервисам во всех остальных осях вместе взятых.

Угадайте почему все нормальные провайдеры тупо дропают весь трафик на этих портах?! Ибо есть мало желающих разводить в подшефной сети зоопарк и троянов и червей...

По сабжу: ИМХО статья не самая плохая, хоть и популистская. Эдакий get the fact только со стороны более-менее независимых людей.

Bebop ★★
()
Ответ на: комментарий от Bebop

> Угадайте почему все нормальные провайдеры тупо дропают весь трафик на этих портах?!

Апеллировать к таким вещам - демагогия. Ибо никаких провайдеров в статье не фигурирует. Проведённое исследование ничуть не показывает примуществ "открытых" ОС, даже наоборот.

Что касается пофлемить, то отвечу, Потому что венда не просто распространена, распространена её единственная версия. Очень легко юзать единственную уязвимость. Линуксовые дыры гораздо тяжелее использовать из-за зоопарка линуксов. Но не невозможно. Невозможнор создать червя, перебирающего все варианты. Человек использовать сможет.

wa
()
Ответ на: комментарий от wa

>Апеллировать к таким вещам - демагогия.

Увы это практика использования. Демагогия это аппелирование к владению арифметикой 1-го класса начальной школы авторами статьи. Если Вы не заметили, то в Федоре "искаропки" открыт только 22 порт с sshd на нем, об уязвимостях которого, я что-то давно не слышал...

>Потому что венда не просто распространена, распространена её единственная версия.

Это действительно заслуга мсей, что бы тут не говорили фанатики, но сам я с легким сердцем снес эту самую распространенную и все такое со своего винта. И во много из-за необходимости держать фаервол, антивирь и еще и стараться не пропустить инфу об очередной дыре...

Только давайте не будем сваливаться на обсуждение виндов, а? Да еще и в корпоративном окружении за рутерами и железными брандмауэрами... В статье речь о компах конечных пользователей.

Bebop ★★
()
Ответ на: комментарий от Bebop

Почему не будем? Именно так (за отдельным фаерволом, с квалифицированной поддержкой она на 90% и используется) и нормально так используется. Не уверен, что в linux есть аналог групповых политик, dfs, перемещаемых профилей итд (причем в винде это есть уже больше 5 лет)....

anonymous
()
Ответ на: комментарий от anonymous

Ну что, вендекапец настаёт наконец? (Что в переводе на английский звучит как "the wow starts now")

Pythagoras ★★
()
Ответ на: комментарий от anonymous

Хм, в линуксе все это есть, только называется и работает непривычно для виндузятнега.

К примеру roaming rofiles = ldap+homedirs+nfs. или ldap+homedirs+rsync %)

Групповые политики, во первых есть в гноме в административных утилита, которая позволяет ограничивать политику работы с десктопом, в кедах есть киоск, и что-то вроде cfengine - для всей системы. Можно использовать в связке.

Distributed File System? А как-же редхатовский global fs (или как он там называется?) или другие тоже были, на выбор ; ) use google

Хотя соглашусь, изкаропки решений нет, разве что от новелл, но не уверен.

anonymous
()
Ответ на: комментарий от anonymous

>Не уверен, что в linux есть аналог групповых политик, dfs, перемещаемых профилей итд

не уверен - не пиши. все эти вещи изначально были реализованы в *nix. причем *nixы предоставляют ГОРАЗДО более гибкие возможности. в реализации m$ эти возможности - кастраты.

mmm62
()
Ответ на: комментарий от anonymous

ёпрст clusterfs.org иди на винду такое же найди из каропки:)

anonymous
()
Ответ на: комментарий от anonymous

про nfs вообще ничего хорошего не слышал, поэтому не уверен, что это равноценная замена.

групповые политики - это далеко не только управление DE.

про GFS опять-таки, не уверен, что оно уже много лет как стабильно работает.

Это главная беда линукс - что-то ещё не работает, что-то работает, но скоро будет сломано, остальное уже не работает.... ну, кое-что, всё-таки работает, но на этом корпоративную сеть не построишь....

anonymous
()
Ответ на: комментарий от anonymous

>групповые политики - это далеко не только управление DE.

...а еще и развертование msi и конфигурация фаервола :)

Automount + ldap + /config + симлинки на файлы конфигурации. Без шуток и обид - попробуй - потом за уши не отташить. Настоящий realtime :)

Про msi... думаю ты знаешь, что с пакетами в линухе ВСЕ в полном порядке :)

Плюс посмотри доки на libnss и попробуй zeroconf

OpenAFS + kerberos на юзерских шарах тоже могу посоветовать

А роуминг профили мягко сказать... медленно работают :)

anonymous
()
Ответ на: комментарий от anonymous

>Это главная беда линукс - что-то ещё не работает, что-то работает, но скоро будет сломано, остальное уже не работает.... ну, кое-что, всё-таки работает, но на этом корпоративную сеть не построишь....

Да? бегом страцить свое разоблачение присьмом в Oracle, они то и не знают!

anonymous
()
Ответ на: комментарий от anonymous

>Distributed File System? А как-же редхатовский global fs (или как он там называется?) или другие тоже были, на выбор ; ) use google

Не тормози чувак, у них DFS это типа симлинков :)

anonymous
()
Ответ на: комментарий от anonymous

>Это главная беда линукс - что-то ещё не работает, что-то работает, но скоро будет сломано, остальное уже не работает.... ну, кое-что, всё-таки работает, но на этом корпоративную сеть не построишь....

Все эти технологии были придуманы ещё когда винда была графической оболочкой для DOSа, отработаны, после чего спустя десять лет в Microsoft создали убогое подмножество этих систем (на тех же unixовых протоколах), которое может осилить слабый на голову среднестатистический виндоадмин благодаря красивой суберобложке с wizardами, после чего эти самые виндоадмины примерно раз в месяц постят на ЛОР подобную хрень.

dn2010 ★★★★★
()

Какой толк постить бред в новости ???

robot12 ★★★★★
()

Посмотрел я на найденный уязвимости. Они ставили "из коробки", или всё-таки накатывали обновления?

Lumi ★★★★★
()
Ответ на: комментарий от anonymous

>Это главная беда линукс -

главная беда линуха, это тупое вантузячье быдло, поставившее себе убунту с одного из 30 заказанных дисков, ткнувшееся в пару менюшек и мнящее себя после этого крутыми экспертами по линуху, способными нести какую то истину по форумам

>что-то ещё не работает

если у тебя что то не работает в линухе, значит тебе суждено на вантузе сидеть. без обид

>что-то работает, но скоро будет сломано

ага. а ты когда нибудь умрешь. ужос какой

>ну, кое-что, всё-таки работает, но на этом корпоративную сеть не построишь

передай своему врачу чтобы увеличил тебе дозу галоперидола, потому что ты пока еще не воспринимаешь объективную реальность, увы

anonymous
()
Ответ на: комментарий от anonymous

>Не уверен, что в linux есть аналог групповых политик, dfs, перемещаемых профилей итд

буквально 2 недели назад был случай с перемещаемыми профилями - из-за сбоя сети профиль но залился на сервер, на десктопе тоже следов не осталось. В итоге у людей пропала 3х летняя работа. Премещаемые профили в срочном порядке были запрещены.

prizident ★★★★★
()

Затрахали эти тупые обзоры, нахрен они кому нужны?!

LifeWins
()
Ответ на: комментарий от anonymous

Забейте на эти анализы.

Вот что вот с этим делать: http://www.securitylab.ru/vulnerability/293565.php ???

Вообще ничего не могу придумать. Браузер не имеет значения. Этож первый, кто напишет эксплоит поимеет весь мир ...

anonymous
()

По ссылке сходил. Исправьте в заголовке новости "Сравнительный" на "Сомнительный"

manntes ★★
()
Ответ на: комментарий от anonymous

Хе-хе-хе, помню, как под виндовс курсорчики на некоторых веб-страничках менялись :) Эксплоит уже скорее всего есть, про не афишируется заинтересованными в его использовании :)

manntes ★★
()
Ответ на: комментарий от anonymous

>Вообще ничего не могу придумать. Браузер не имеет значения. Этож первый, кто напишет эксплоит поимеет весь мир ...

Весь мир уже поимел онин человек... фамилию напомнить? А теперь его творение все имеют :))

AlS
()
Ответ на: комментарий от prizident

>буквально 2 недели назад был случай с перемещаемыми профилями - из-за >сбоя сети профиль но залился на сервер, на десктопе тоже следов не >осталось. В итоге у людей пропала 3х летняя работа. Премещаемые профили >в срочном порядке были запрещены. >

Ну, тут уж извините - сами виноваты. Работа с уникальными файлами должна вестись с сетевой папки на сервере, на котором есть RAID 1 плюс бэкапы. Ну, или делать бэкапы перемещаемых профилей, если сильно надо.

Shrike
()

Так и не понял о чем статья. О портах, открытых по умолчанию?

Тоже глупость, по крайней мере в отношении FreeBSD/Linux - большинство сразу лезет и отрубает то, что еще осталось из немногих сервисов.

jackill ★★★★★
()

> Результаты, представленные в виде графиков Che za progon, gde grafiki?

anonymous
()
Ответ на: комментарий от jackill

> Так и не понял о чем статья. О портах, открытых по умолчанию?

+1 статья никакого отношения к реальным оценкам безопастности не имеет. Это называется народ дорвался до nmap'a и начал сканить разные операционки.

anonymous
()
Ответ на: комментарий от anonymous

и что же тут проанализировали???
1) когда прога типа нессуса говорит что тама якобы уязвимость, это ничего не значит. Поверьте, 90% эксплоитов работают только в идеальных условиях (чувак оттестил его на одной машине - на большинстве, ессно, не идет). Слова "исполнение произвольного кода" звучат заманчиво, но отношения к действительности не имеют (нарушение кадра в стеке оооочччень редко приводит к возможности выполнения помещенного туда произвольного кода). И это может работать только на какой-то определенной версии бинарника. Собранное из исходников этому слабо подвержено. Вот DoS это более вероятно.

2) Ну а если уж анализировать, то надо это делать с одинаковым набором запущенных сетевых служб. А то можно только 80й порт открыть с пустой страницей и сказать - о какая надежная система!

scyld
()

все ближе и ближе капецвенде, пора ей на свалку недотехнологий.

сие изделие никому нафиг не сдалось.

alphex_kaanoken ★★★
()

>Microsoft Windows XP, Microsoft Server 2003, Microsoft Windows Vista Ultimate, Apple Mac OS Classic, Apple OS X 10.4 Server, Apple OS X 10.4 Tiger, FreeBSD 6.2, Solaris 10, Fedora Core 6, Slackware 11.0, Suse Enterprise 10, Ubuntu 6.10 Desktop/Server и др.

А NetBSD где? Или для неё эксплоитов не нашли? :)

>Результаты, представленные в виде графиков, говорят в пользу ОС с открытым исходным кодом.

"А что кто-то сомневается? Я не сомневаюсь!" (с)

php-coder ★★★★★
()
Ответ на: комментарий от anonymous

>главная беда линуха, это тупое вантузячье быдло, поставившее себе убунту с одного из 30 заказанных дисков, ткнувшееся в пару менюшек и мнящее себя после этого крутыми экспертами по линуху, способными нести какую то истину по форумам

s/вантузячье/красноглазое/g и теперь это про Вас написано, сэр...

Я нашел применение FreeBSD как пограничным шлюзам (IPSEC, почта с юзерами в ldap-е, jabberd, прокси, распределенный биллинг, ftp) в своих 15 подотчетных филиалах, но внутри сети только красноглазое быдло навроде некоторых бы стало ставить линупс с самбой или другие какие-то извращения на базе linux или пусть даже freebsd.

anonymous
()
Ответ на: комментарий от anonymous

>Я нашел применение FreeBSD как пограничным шлюзам (IPSEC, почта с юзерами в ldap-е, jabberd, прокси, распределенный биллинг, ftp) в своих 15 подотчетных филиалах, но внутри сети только красноглазое быдло навроде некоторых бы стало ставить линупс с самбой или другие какие-то извращения на базе linux или пусть даже freebsd.

Я нашел применение венде как пример того каким не должна быть OS и примером о том как это плохо тормозить развитие индустрии.

Что нового в xp/vista ? новые рюшки? зачем ? что есть в win чего нету в *nix ? Только не надо говорить про то что samba не AD и так далее, с таким же успехом я могу говорить что AD не NFS и на вейнде кластер не построить.

Вот ответь мне на вопрос почему у вас у всех вантузников такой фанатизм и отсутвие логики в принципе ?

alphex_kaanoken ★★★
()
Ответ на: комментарий от anonymous

Спасибо, я обязательно всё это попробую... если появится какой-то мудаг в руководстве, который скажет сломать совершенно нормально работающую схему и городить на линухе... :)

p.s. С пакетами в линухе всё хорошо с какими? Кроме .deb там вообще всё ужасно. А с .deb... разве оно умеет такое: юзер тыкает мышкой в (допустим) .pdf файл и с сервера ставится нужная программулина и файл запускается?

p.p.s. Как профили могут медленно работать? Если 2 мегабайта скачиваются долго, то наверное пора сервер апгрейдить (если юзеров мильёны). А документы все лежат на сервере и работают в зависимости от скорости сервера и сети...

anonymous
()
Ответ на: комментарий от alphex_kaanoken

потому что они фанатики. а фанатикам логика не нужна. Воще, зачем сравнивать микроскоп с молотком?

scyld
()
Ответ на: комментарий от anonymous

я штото не помню, чтоп я в венде ткнул в пдф и у меня инсталлировалась программа в которой потом этот пдф открывался. зато помню, как виндовс медиаплеер качал свои кодеки чтоб проиграть wmv а потом сказал, что эти скачаные кодеки не подходят.

scyld
()
Ответ на: комментарий от alphex_kaanoken

Vista сильно тормозная, даже не смотрел.

В XP по сравнению с 2000 миллион изменений с точки зрения админа и возможностей по интеграции в AD (функционального уровня 2003). То, что ты только рюшки заметил как раз и говорит, что ты в теме не шаришь... зачем в спор лезть тогда? :)

Причем тут кластер? У тебя юзеры в корпоративной сети в кластере сидят? :))) Изначально я про корпоративные сети задвигать начал...

Вантузник - это человек, который ещё несколько лет как офигел от гнутого и бздишного в 90% случаев недоделанного софта? Ну, тогда вантузник и что?

anonymous
()
Ответ на: комментарий от anonymous

>В XP по сравнению с 2000 миллион изменений с точки зрения админа и возможностей по интеграции в AD (функционального уровня 2003). То, что ты только рюшки заметил как раз и говорит, что ты в теме не шаришь... зачем в спор лезть тогда? :)

верится с трудом, с точки зрения ядра и основных либ - изменений нет, кроме косметических - они не в счет.

>Причем тут кластер? У тебя юзеры в корпоративной сети в кластере сидят? :))) Изначально я про корпоративные сети задвигать начал...

у меня никто не сидит, не админ я. но чтобы говорить сначала поясни что такое корпоративная сеть ? это сеть по распространению вирусов что ли ?

alphex_kaanoken ★★★
()
Ответ на: комментарий от anonymous

хм. я нервов гораздо меньше стал себе портить, когда понял что такое линукс. и перешел на него.

и не лазаю по вендовским форумам, и не обсираю там никого.

а вот у уважаемого я гляжу с нервишками не все в порядке. залез сюда, кричать чего-то начал. если чтото не работает - значит ручки кривые. а если "софта нет" то значит, его на Горбушке не продают просто.

scyld
()
Ответ на: комментарий от alphex_kaanoken

>верится с трудом, с точки зрения ядра и основных либ - изменений нет, кроме косметических - они не в счет.

ну и не верь дальше... да ты и не админ, ты просто мимо проходил. Смысл было выступать?!

"корпоративная сеть с вирусами" - это то, что наадминивают мальчики-неадмины в свободное от учебы время за 200 баксов. Я вот точно помню, что из моей сети вирусы/спам не разу не лезли (в черный список какой-нибудь попали бы и сразу заметили) за все годы.....

Moralez
()
Ответ на: комментарий от wa

> Потому что венда не просто распространена, распространена её единственная версия.

Враки. Во-первых, ещё сравнительно много компов с Win2k. Её поставили, и она работает. Только сопливые подростки постоянно ставят самые последние версии. Для нормальных людей правило - простое: "работает приемлемо - не трожь, лучше сделай что-то полезное для себя или семьи". Второе. Среди "крутых потсанов" вот уже несколько лет модно ставить на десктопы Win2k3Server и ипаться с переделкой его под десктопные нужды. Третье. WinXP, WinXPSP1 и WinXPSP2 - это РАЗНЫЕ системы, там заменено ОЧЕНЬ много системных dll. Четвёртое. Сейчас сопливые подростки вовсю ставят висту. Пятое. Не скажу, что оперативно, но дыры в венде закрывают, а windowsupdate с windows firewall по дефолту включены.

anonymous
()
Ответ на: комментарий от scyld

нормально с нервишками, LOR читаю много лет. собственно, юниксоидом был и есть. но это не повод обсирать винду в корпоративном секторе - там ваш линупс до неё не дорос и не дорастет (такими темпами)....

Moralez
()
Ответ на: комментарий от anonymous

Я периодически выставляю winxp sp2 со всеми установленными патчами, но с выключенным файрволлом голой задницей в инет (поприкалываться). Из последних "приобретений": c:\urdvxc.exe, c:\irdvxc.exe, c:\windows\system32\urdvxc.exe. Первым из них уже больше 2 месяцев. Дыры, как я понимаю, до сих пор не закрыты, т.к. эта дрянь по-прежнему лезет.

anonymous
()
Ответ на: комментарий от anonymous

> перемещаемых профилей

А это "сделать /home/vasya" симлинком на другой каталог, что ли? А, ну да, конечно, нет, откуда такое в линуксе?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.