概述

選擇操作系統(tǒng)時(shí)需要考慮許多因素，最關(guān)鍵的因素之一就是安全性。專(zhuān)家們的普遍共識(shí)是，Linux 是設(shè)計(jì)上最安全的操作系統(tǒng)之一，這一令人印象深刻可歸因于多種因素，包括其透明的開(kāi)源代碼、嚴(yán)格的用戶(hù)權(quán)限模型、多樣性、內(nèi)置的內(nèi)核安全防御和在其上運(yùn)行的應(yīng)用程序的安全性。

Linux 提供的高級(jí)別的安全性、定制性、兼容性和成本效益使其成為尋求保護(hù)高價(jià)值數(shù)據(jù)的企業(yè)和組織的熱門(mén)選擇。Linux 已被包括 IBM、谷歌和亞馬遜在內(nèi)的全球政府和科技巨頭采用，目前為全球前 100 萬(wàn)個(gè)域名中的 97% 提供支持。當(dāng)今所有最流行的編程語(yǔ)言最初都是在 Linux 上開(kāi)發(fā)的，現(xiàn)在可以在任何操作系統(tǒng)上運(yùn)行。

本文將探討為什么 Linux 可以說(shuō)是尋求靈活、經(jīng)濟(jì)高效、極其安全的操作系統(tǒng)的企業(yè)的最佳選擇。為了幫助您權(quán)衡您的選擇，我們將探討 Linux 與 Windows 在隱私級(jí)別以及它能夠?yàn)樗衅髽I(yè)和組織提供的針對(duì)漏洞和攻擊的保護(hù)方面的比較。

開(kāi)源優(yōu)勢(shì)

由于 Linux 是一個(gè)開(kāi)源操作系統(tǒng)，通過(guò)開(kāi)源社區(qū)參與和支持它提供的安全級(jí)別大大提高。Linux 源代碼由全球充滿(mǎn)熱情的用戶(hù)開(kāi)發(fā)人員進(jìn)行持續(xù)、徹底的審查，他們?yōu)樽约旱睦婧蜕鐓^(qū)的利益投入了大量精力。由于這種審查，通常在攻擊者有機(jī)會(huì)利用它們之前，Linux 安全漏洞通常會(huì)很快被發(fā)現(xiàn)和消除 。

通過(guò)嚴(yán)格的用戶(hù)權(quán)限實(shí)現(xiàn)卓越的安全性

Linux 通過(guò)嚴(yán)格的用戶(hù)權(quán)限模型極大地限制了 root 訪問(wèn)。在這個(gè)模型中，超級(jí)用戶(hù)擁有所有的權(quán)限，普通用戶(hù)只被授予足夠的權(quán)限來(lái)完成常見(jiàn)的任務(wù)。由于 Linux 用戶(hù)的自動(dòng)訪問(wèn)權(quán)限較低，并且需要額外的權(quán)限才能打開(kāi)附件、訪問(wèn)文件或調(diào)整內(nèi)核選項(xiàng)，因此在 Linux 系統(tǒng)上傳播惡意軟件和 rootkit 比在運(yùn)行其他操作系統(tǒng)的系統(tǒng)上更難。

盡管可以在 Windows 系統(tǒng)上實(shí)施最低權(quán)限管理模型，但是很少組織采取這種預(yù)防措施，實(shí)際上，在大多數(shù) Windows 系統(tǒng)上“每個(gè)人都是管理員”。因此，惡意軟件和病毒在運(yùn)行 Windows 的系統(tǒng)上比在運(yùn)行 Linux 的系統(tǒng)上更容易傳播。

多樣性帶來(lái)的安全

Linux 用戶(hù)可以使用多種發(fā)行版，它們具有不同的系統(tǒng)架構(gòu)和組件。因此，Linux 環(huán)境中可能存在的高度多樣性不僅有助于滿(mǎn)足用戶(hù)的不同需求，它還使 Linux 在攻擊者中的吸引力降低，因?yàn)?Linux 環(huán)境中多樣性存在的，使得難以有效地制作對(duì)廣泛的 Linux 系統(tǒng)可以使用的漏洞工具。

盡管 Linux 被認(rèn)為是一種高度安全的操作系統(tǒng)，但存在各種專(zhuān)門(mén)的安全 Linux 發(fā)行版，供具有高級(jí)安全和隱私問(wèn)題的個(gè)人使用，如滲透測(cè)試人員、逆向工程師和安全研究人員。這些發(fā)行版非常注重保護(hù)用戶(hù)的在線隱私和匿名性。

Linux 內(nèi)核安全

Linux 內(nèi)核提供了一些出色的內(nèi)置安全防御，包括 UEFI 安全啟動(dòng)固件驗(yàn)證機(jī)制、Linux 內(nèi)核鎖定配置選項(xiàng)和 SELinux 或 AppArmor 強(qiáng)制訪問(wèn)控制 (MAC) 安全增強(qiáng)系統(tǒng)。通過(guò)啟用這些功能并配置它們?yōu)長(zhǎng)inux 內(nèi)核自我保護(hù)提供最高級(jí)別的安全性 ，管理員可以為其系統(tǒng)添加一個(gè)有價(jià)值的安全層。

Linux 上的配置選項(xiàng)比 Windows 上的要很多，其中許多可用于增強(qiáng)安全性。例如，Linux 內(nèi)核鎖定是一個(gè)配置選項(xiàng)，通過(guò)加強(qiáng)用戶(hù)態(tài)進(jìn)程和內(nèi)核代碼之間的劃分來(lái)防止 root 帳戶(hù)修改內(nèi)核代碼。如果 root 帳戶(hù)遭到入侵，啟用鎖定模式將使攻擊者更難以破壞操作系統(tǒng)的其余部分。Lockdown 有兩種模式：完整性模式和保密模式。在完整性模式下啟用鎖定將阻止允許用戶(hù)空間修改正在運(yùn)行的內(nèi)核的內(nèi)核功能，而在機(jī)密模式下啟用鎖定將阻止用戶(hù)空間從正在運(yùn)行的內(nèi)核中提取敏感信息。通常建議使用完整性模式，并且只對(duì)包含敏感信息的特殊系統(tǒng)使用機(jī)密模式，即使是 root 也不應(yīng)該被允許看到。

SELinux 和 AppArmor 是兩個(gè)安全增強(qiáng)系統(tǒng)特性，用于通過(guò)強(qiáng)制訪問(wèn)控制 (MAC) 安全策略鎖定 Linux 系統(tǒng)，為管理員提供對(duì)其系統(tǒng)安全性的精細(xì)控制并防止服務(wù)器錯(cuò)誤配置、軟件漏洞和零日攻擊這些可能會(huì)危及整個(gè)系統(tǒng)行為。Smack(簡(jiǎn)化強(qiáng)制訪問(wèn)控制內(nèi)核)提供了另一種在 Linux 上實(shí)施 MAC 策略的方法。這個(gè)簡(jiǎn)單的 Linux 內(nèi)核安全模塊使用一組自定義強(qiáng)制訪問(wèn)控制規(guī)則來(lái)保護(hù)數(shù)據(jù)和進(jìn)程交互免受惡意操作的影響。

盡管 Windows 上的 MAC 選項(xiàng)較少，但操作系統(tǒng)確實(shí)提供了強(qiáng)制完整性控制 (MIC)，作為除了自主訪問(wèn)控制之外控制對(duì)安全對(duì)象的訪問(wèn)的機(jī)制。MIC 使用完整性級(jí)別和強(qiáng)制策略來(lái)評(píng)估對(duì)象對(duì)自由訪問(wèn)控制列表 (DACL) 的訪問(wèn)。

安全、經(jīng)濟(jì)高效的托管

由于操作系統(tǒng)提供的高度安全性、成本效益、兼容性和定制性，Linux 托管在經(jīng)銷(xiāo)商中廣受歡迎。Linux 是免費(fèi)的，并且網(wǎng)絡(luò)托管服務(wù)提供商不承擔(dān)任何訂閱費(fèi)用或每用戶(hù)的許可費(fèi)用，就像他們使用 Windows 一樣，這將給消費(fèi)者帶來(lái)益處。Linux 支持大多數(shù)全球使用的主要編程語(yǔ)言，包括 Python、MySQL、PHP、Ruby 和 Perl，基于 Linux 的托管非常適合需要大量數(shù)據(jù)流量的動(dòng)態(tài)網(wǎng)站，例如在線購(gòu)物、票務(wù)或醫(yī)療保健提供商網(wǎng)站。Linux 主機(jī)還提供了一個(gè) Windows 主機(jī)中沒(méi)有的用戶(hù)友好工具，稱(chēng)為 cPanel，它有助于網(wǎng)站管理和維護(hù)。這些優(yōu)勢(shì)為 Linux 經(jīng)銷(xiāo)商托管創(chuàng)造了巨大的需求。

Windows 安全性如何比較?

由于其龐大的用戶(hù)群、“封閉”的源代碼和操作系統(tǒng)的同質(zhì)化單一化，對(duì)攻擊者來(lái)說(shuō)，Windows 是一個(gè)更具吸引力的目標(biāo)。盡管近年來(lái)Linux 惡意軟件攻擊越來(lái)越頻繁，但絕大多數(shù)惡意軟件仍然以 Windows 為目標(biāo)，而 Windows 系統(tǒng)是2020 年 83% 的惡意軟件攻擊的目標(biāo)。

微軟傳統(tǒng)上采用一種稱(chēng)為“通過(guò)默默無(wú)聞的安全”的方法來(lái)保護(hù) Windows 源代碼的安全。在這種方法中，源代碼對(duì)外界隱藏，試圖向惡意行為者隱藏漏洞。雖然這聽(tīng)起來(lái)像是一個(gè)好主意，但實(shí)際上通過(guò)默默無(wú)聞的安全性會(huì)對(duì)安全性產(chǎn)生負(fù)面影響，因?yàn)樗鼤?huì)阻止外部人員在網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)和利用漏洞之前審查源代碼和報(bào)告漏洞。在發(fā)現(xiàn)安全漏洞方面，負(fù)責(zé)審查 Windows 源代碼的微軟開(kāi)發(fā)人員團(tuán)隊(duì)肯定比不上支持 Linux 的全球開(kāi)源社區(qū)的“眾眼”。

這并不是說(shuō)微軟沒(méi)有認(rèn)識(shí)到 Linux 的內(nèi)在優(yōu)勢(shì)和它所基于的開(kāi)源開(kāi)發(fā)模型。通過(guò) Windows Subsystem for Linux v2 (WSL2) 和 Azure Sphere 等服務(wù)，微軟也是 Linux 分銷(xiāo)商。Linux 開(kāi)發(fā)人員已經(jīng)承認(rèn)這家科技巨頭對(duì) Linux 安全性的承諾不斷增加，并已將微軟的 Linux 開(kāi)發(fā)人員納入 linux-distro 列表。

小結(jié)

選擇 Linux 而不是 Windows 為企業(yè)提供了構(gòu)建數(shù)字安全戰(zhàn)略的安全基礎(chǔ)。Linux 在其設(shè)計(jì)中內(nèi)置了安全性，其相對(duì)較小的用戶(hù)群使其成為相對(duì)較小的攻擊目標(biāo)。 操作系統(tǒng)是您計(jì)算機(jī)上運(yùn)行的最關(guān)鍵的軟件，選擇安全的操作系統(tǒng)是改善企業(yè)網(wǎng)絡(luò)安全狀況的良好開(kāi)端，但請(qǐng)務(wù)必記住，僅憑操作系統(tǒng)不足以保護(hù)您的用戶(hù)、您的數(shù)據(jù)和你的聲譽(yù)。安全就是縱深防御，您的網(wǎng)絡(luò)和服務(wù)器的安全受到服務(wù)器管理、員工行為和服務(wù)器運(yùn)行環(huán)境的極大影響。Linux 服務(wù)器必須正確配置、監(jiān)控和維護(hù)，并在安全環(huán)境中運(yùn)行才能真正安全。安全的在線行為和一般安全最佳實(shí)踐的實(shí)施也非常重要。

同樣重要的是要記住，安全性是在安全性和可用性之間以及在安全性和用戶(hù)友好性之間權(quán)衡。管理員應(yīng)將其系統(tǒng)配置為在其環(huán)境中盡可能安全。在便利性方面，與 Windows 相比，Linux 需要花點(diǎn)時(shí)間才能掌握，但也提供了顯著的安全優(yōu)勢(shì)。您是否希望提高企業(yè)的數(shù)字安全性?如果是這樣，選擇 Linux 是一個(gè)很好的開(kāi)始。