小说阅读网免费小说,小说网

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

深入了解：如何對(duì)Linux進(jìn)行加固？(linux加固)

作為一款安全性較高的操作系統(tǒng)，Linux在很多企業(yè)和個(gè)人用戶中得到了廣泛應(yīng)用。但是，在實(shí)際應(yīng)用中，Linux系統(tǒng)仍然需要加強(qiáng)其安全防御能力，以應(yīng)對(duì)各種來自內(nèi)部和外部的安全威脅。因此，在日常使用Linux時(shí)，需要了解如何對(duì)Linux進(jìn)行加固，以提高其安全性能。

創(chuàng)新互聯(lián)專注于讓胡路網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠(chéng)為您提供讓胡路營(yíng)銷型網(wǎng)站建設(shè)，讓胡路網(wǎng)站制作、讓胡路網(wǎng)頁設(shè)計(jì)、讓胡路網(wǎng)站官網(wǎng)定制、小程序開發(fā)服務(wù)，打造讓胡路網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供讓胡路網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

一、更新最新的補(bǔ)丁和更新

Linux操作系統(tǒng)常常會(huì)遭受到各種安全漏洞的攻擊，因此定期更新補(bǔ)丁和更新是非常必要的。這些更新通常包括操作系統(tǒng)的內(nèi)核、系統(tǒng)工具、應(yīng)用軟件等，以及應(yīng)用程序所依賴的庫文件。由于開源社區(qū)的快速發(fā)展，定期的更新可以確保系統(tǒng)能夠抵御各種最新的安全漏洞和攻擊。因此，必須掌握系統(tǒng)更新的頻率和方法，以確保系統(tǒng)在安全上的可靠性。

二、禁用不需要的服務(wù)，刪除不需要的軟件包

在Linux上運(yùn)行的許多服務(wù)都存在一定的安全風(fēng)險(xiǎn)。因此，在可以的情況下，禁用不需要的服務(wù)，減少暴露在網(wǎng)絡(luò)上的攻擊面。此外，對(duì)于不需要的軟件包也應(yīng)該定期進(jìn)行清理。這樣不僅能減少系統(tǒng)資源的浪費(fèi)，還能減少潛在的安全風(fēng)險(xiǎn)。

三、合理配置系統(tǒng)權(quán)限和SELinux

Linux系統(tǒng)的安全性能很大程度上取決于其權(quán)限管理和訪問控制系統(tǒng)。在工作站或服務(wù)器上，管理員要聚焦于限制訪問、限制用戶以及限制進(jìn)程運(yùn)行等管理功能。例如，我們可以為不同的用戶組分配不同的權(quán)限，以實(shí)現(xiàn)精細(xì)化訪問控制。此外，也要注意設(shè)置出口和入口的防火墻策略，并開啟SELinux（安全增強(qiáng)的Linux）功能。這樣可以及時(shí)發(fā)現(xiàn)移植以及訪問異常行為，并對(duì)惡意行為立即做出及時(shí)的反應(yīng)。

四、加密數(shù)據(jù)傳輸和存放

安全傳輸和妥善保管敏感信息是任何信息安全策略中的重要組成部分。Linux提供了SSL/TSL（安接字/傳輸層安全）協(xié)議和SSH（安全Shell）功能，這些功能允許安全地傳輸敏感數(shù)據(jù)。另外，對(duì)于敏感數(shù)據(jù)的存儲(chǔ)，我們可以對(duì)其使用高強(qiáng)度的加密算法進(jìn)行加密。這些措施可幫助我們?cè)诰W(wǎng)絡(luò)上和儲(chǔ)存介質(zhì)上實(shí)現(xiàn)或增強(qiáng)敏感信息的安全性。

五、日志記錄和監(jiān)控

面對(duì)各種安全事件，日志記錄和監(jiān)控是發(fā)現(xiàn)和識(shí)別安全威脅的關(guān)鍵工具。Linux提供了一些log文件，如/var/log/messages、/var/log/secure等，這些日志記錄系統(tǒng)運(yùn)行時(shí)的詳細(xì)信息，按照時(shí)間戳記錄了系統(tǒng)的行為。此外，可以通過工具實(shí)時(shí)監(jiān)控服務(wù)、進(jìn)程、用戶等的運(yùn)行情況，以幫助及時(shí)發(fā)現(xiàn)異常問題。

六、定期進(jìn)行安全審計(jì)

Linux作為一款強(qiáng)安全性的系統(tǒng)，其許多重要的安全特性也需要經(jīng)過定期的安全審計(jì)。通過對(duì)系統(tǒng)的安全策略和流程的全面審查，對(duì)安全策略和流程問題進(jìn)行識(shí)別和解決，全面提升系統(tǒng)安全性和健壯性。同時(shí)，定期的安全審計(jì)和測(cè)試也可以檢測(cè)系統(tǒng)中潛在的安全漏洞和可能的攻擊手段，及時(shí)優(yōu)化安全架構(gòu)和加強(qiáng)安全策略。

：

Linux操作系統(tǒng)作為管理設(shè)備的首選，其提供了非常完善而強(qiáng)大的安全性能。通過定期更新補(bǔ)丁和更新、禁用不需要的服務(wù)、合理配置系統(tǒng)權(quán)限和SELinux、加密數(shù)據(jù)傳輸和存放、日志記錄和監(jiān)控、定期進(jìn)行安全審計(jì)等措施，可以大大加強(qiáng)Linux系統(tǒng)的安全性能，在工作臺(tái)面和服務(wù)器等場(chǎng)合下的使用壓力下，保障安全性能的順暢運(yùn)行。同時(shí)，管理員還應(yīng)加強(qiáng)自己的保障措施，保障系統(tǒng)運(yùn)行的可靠性和安全性。

相關(guān)問題拓展閱讀：

Linux與Windows的安全性比較

Linux與Windows的安全性比較

安全問題對(duì)于it管理員來說是需要長(zhǎng)期關(guān)注的。主管們需要一套框架來對(duì)操作系統(tǒng)的安全性進(jìn)行合理的評(píng)估，包括：基本安全、網(wǎng)絡(luò)安全和協(xié)議，應(yīng)用協(xié)議、發(fā)布與操作、確信度、可信計(jì)算、開放標(biāo)準(zhǔn)。在本文中，我們將按照這七個(gè)類別比較微軟windows和linux的安全性。最終的定性結(jié)論是：目前為止，linux提供了相對(duì)于windows更好的安全性能，只有一個(gè)方面例外（確信度）。　　無論按照什么標(biāo)準(zhǔn)對(duì)windows和linux進(jìn)行評(píng)估，都存在一定的問題：每個(gè)操作系統(tǒng)都不止一個(gè)版本。微軟的操作系統(tǒng)有windows98、windows nt、 windows 2023、 windows 2023 server和windows ce，而linux的發(fā)行版由于內(nèi)核（基于2.2、2.4、2.6）的不同和軟件包的不同也有較大的差異。我們本文所使用的操作系統(tǒng)，都是目前的技術(shù)而不是那些”古老”的解決方案。

　　用戶需要記?。簂inux和windows在設(shè)計(jì)上就存在哲學(xué)性的區(qū)別。windows操作系統(tǒng)傾向于將更多的功能集成到操作系統(tǒng)內(nèi)部，并將程序與內(nèi)核相結(jié)合；而linux不同于windows，它的內(nèi)核空間與用戶空間有明顯的界限。根據(jù)設(shè)計(jì)架構(gòu)的不同，兩者都可以使操作系統(tǒng)更加安全。

linux和windows安全性的基本改變

　　對(duì)于用戶來說，linux和windows的不斷更新引發(fā)了兩者之間的競(jìng)爭(zhēng)。用戶可以有自己喜歡的系統(tǒng)，同時(shí)也在關(guān)注競(jìng)爭(zhēng)的發(fā)展。微軟的主動(dòng)性似乎更高一些――這是由于業(yè)界”冷嘲熱諷”的”激勵(lì)”與linux的不斷發(fā)展。微軟將在下幾個(gè)月對(duì)windows安全進(jìn)行改觀，屆時(shí)微軟會(huì)發(fā)布windows　xp的service　pack2。這一服務(wù)包增強(qiáng)了windows的安全性，關(guān)閉了原先默認(rèn)開放的許多服務(wù)，也提供了新的補(bǔ)丁管理工具，例如：為了避免受到過多無用的信息，警告服務(wù)和信使服務(wù)都被關(guān)閉。大多數(shù)情況下，關(guān)閉這些特性對(duì)于增強(qiáng)系統(tǒng)安全性是有好處的，不過很難在安全性與軟件的功能性、靈活性之間作出折衷。

　　最顯著的表現(xiàn)是：微軟更加關(guān)注改進(jìn)可用性的同時(shí)增強(qiáng)系統(tǒng)的安全性。比如：2023年許多針對(duì)微軟的漏洞攻擊程序都使用可執(zhí)行文件作為電子郵件的附件（例如mydoom）。service pack2包括一個(gè)附件執(zhí)行服務(wù)，為outlook/exchange、 windows messenger和internet　explorer提供了統(tǒng)一的環(huán)境。這樣就能降低用戶運(yùn)行可執(zhí)行文件時(shí)感染病毒或者蠕蟲的威脅性。另外，禁止數(shù)據(jù)頁的可執(zhí)行性也會(huì)限制潛在的緩沖區(qū)溢出的威脅。不過，微軟在service　pack2中并沒有修改windows有問題的架構(gòu)以及安全傳輸?shù)牟糠郑菍⑦@部分重?fù)?dān)交給了用戶。

　　微軟的重敏慧知點(diǎn)顯然是支持應(yīng)用程序的安全性。service pack2中增強(qiáng)的許多方面都是以outlook/exchange和internet explorer作為對(duì)象的。例如：internet　explorer中有一個(gè)智能的mime類型檢查，會(huì)對(duì)目橋消標(biāo)的內(nèi)容類型進(jìn)行檢查，用戶可以獲悉該內(nèi)容中是否存在潛在的有害程序。不過這一軟件是不是能將病毒與同事的電子數(shù)據(jù)表區(qū)分開來呢？

　　service　pack2的另一個(gè)新特性是能夠卸載碧襲瀏覽器的多余插件，這需要終端用戶檢查并判斷需要卸載哪些插件。outlook/exchange可以預(yù)覽電子郵件消息，因此用戶可以在打開之前就將電子郵件刪除。另一個(gè)應(yīng)用安全的增強(qiáng)，防火墻在網(wǎng)絡(luò)協(xié)議棧之前啟動(dòng)。對(duì)于軟件開發(fā)者來說，遠(yuǎn)方過程調(diào)用中權(quán)限的改變，使得安全性差的代碼難以工作正常。

　　service　pack2也為windows用戶提供了許多華麗的新特性，但是問題仍然存在：這些特性會(huì)不會(huì)對(duì)管理員甚至是終端用戶造成負(fù)擔(dān)？是不是在增加了windows操作系統(tǒng)代碼安全性的同時(shí)讓系統(tǒng)變得更加復(fù)雜？

開放源代碼、共享源代碼

　　微軟的共享源代碼計(jì)劃政策屬于”可看但不可修改”，例外的情況是windows　ce共享源代碼許可證計(jì)劃。對(duì)于公司來說，可以將基于windows　ce的設(shè)備和解決方案推向市場(chǎng)。這是微軟共享源代碼計(jì)劃下，源設(shè)備制造商（oem）、半導(dǎo)體提供商、系統(tǒng)集成商可以完全訪問windows　ce源代碼的唯一項(xiàng)目。所有許可證持有者都有對(duì)源代碼的完全訪問權(quán)，當(dāng)然可以修改代碼，但只有oem才能發(fā)布對(duì)基于wince設(shè)備的修改。所有其他的共享源代碼許可證持有者，如果要訪問該項(xiàng)目不允許的源代碼，需要向redmond.wash的微軟總部請(qǐng)示。

　　某些用戶認(rèn)為共享源代碼計(jì)劃對(duì)于調(diào)試程序會(huì)有幫助，微軟要求編譯的時(shí)候必須在微軟總部，這不得不說是一個(gè)很大的限制。盡管微軟想盡力增加透明，如果無法編譯，就很難確定源代碼在真實(shí)的it環(huán)境中是否能正常工作。限制用戶修改并編譯windows的源代碼，降低了人們?cè)L問windows共享源代碼并尋找安全漏洞的熱情。

數(shù)據(jù)中心和桌面下linux的安全收益

　　在未來的12個(gè)月里，linux將加強(qiáng)在數(shù)據(jù)中心的份額，并試圖沖擊微軟在桌面上的壟斷。這很大程度上是受益于linux2.6版內(nèi)核的新特性與新功能。有了linux　v2.6，安全框架現(xiàn)在已經(jīng)模塊化了。在這種模型下，linux內(nèi)核的所有方面都提供了細(xì)粒度的用戶訪問控制，而以前的版本的內(nèi)核允許超級(jí)用戶完全控制。現(xiàn)在的實(shí)現(xiàn)仍然支持root完全訪問系統(tǒng)，但完全可以創(chuàng)建一個(gè)不遵循該模型的liinux系統(tǒng)。

　　linux　v2.6內(nèi)核的一個(gè)主要變化，就是新增的linux安全模塊（l），用戶不需要打內(nèi)核補(bǔ)丁就能為linux增加更多的安全機(jī)制。新版內(nèi)核，在l上建立了多個(gè)訪問控制機(jī)制，其中包括美國(guó)國(guó)安局（nsa）的securiy　enhanced　linux（selinux）。由于國(guó)安局對(duì)操作系統(tǒng)安全與強(qiáng)制訪問控制的興趣，產(chǎn)生了selinux。國(guó)安局的研究人員正在開發(fā)linux的安全模塊，可以支持2.6內(nèi)核的類型加強(qiáng)、基于腳色的訪問控制、多層次安全。selinux使用了命為”域類型強(qiáng)制”的安全模型，可以將應(yīng)用程序互相隔離，同時(shí)也與基本的操作系統(tǒng)隔離，從而限制入侵后程序或者網(wǎng)絡(luò)服務(wù)造成的影響。

　　linux的2.6內(nèi)核中已經(jīng)加入了對(duì)selinux的細(xì)粒度布爾值標(biāo)簽的支持，其他的廠商也開始利用國(guó)安局的selinux。例如，immunix提供了一些列產(chǎn)品，包括stackguard和子域stackguard模塊，可以配置進(jìn)程只使用某些系統(tǒng)調(diào)用。redhat聲稱selinux將在redhat企業(yè)服務(wù)器4.0的安全架構(gòu)上起重要的作用。

　　今天，linux的內(nèi)核中已經(jīng)有一個(gè)功能強(qiáng)大、靈活的強(qiáng)制訪問控制子系統(tǒng)。這個(gè)系統(tǒng)強(qiáng)制隔離有機(jī)密和完整性要求的數(shù)據(jù)，因此任何潛在的破壞，即時(shí)是由超級(jí)用戶進(jìn)程所造成的，都被linux系統(tǒng)限制起來了。

　　linux　v2.6還提供了對(duì)加密安全的支持，包括了ipsec使用的加密api。這樣，在網(wǎng)絡(luò)和存儲(chǔ)加密時(shí)就可以使用多種算法（例如：sha-1、des、三重des、md4、hmac、ede、和blowfish）。linux對(duì)ipsec　ipv4和ipv6協(xié)議的支持是一個(gè)很大的進(jìn)步。由于安全抽象到了協(xié)議層，用戶程序?qū)撛诠舫绦虻拇嗳跣杂兴档?。密碼加密模塊目前還不是linux內(nèi)核的一部分，如果linux真的實(shí)現(xiàn)了這樣的特性，就可以阻止未簽名的模塊被內(nèi)核訪問。

　　現(xiàn)在仍然困擾windows用戶的一個(gè)問題就是緩沖區(qū)溢出。linux用戶從2.6內(nèi)核開始就會(huì)收益于exec-shield補(bǔ)丁。exec-shield可以阻止許多漏洞攻擊程序覆蓋數(shù)據(jù)結(jié)構(gòu)并向這些結(jié)構(gòu)中插入代碼的企圖。由于不需要重新編譯應(yīng)用程序就能使exec-shield補(bǔ)丁奏效，實(shí)現(xiàn)起來很方便。

　　另外，2.6內(nèi)核中的搶占式內(nèi)核，也減少了延遲，使得linux不但可以應(yīng)用到數(shù)據(jù)中心，甚至可以在有軟實(shí)時(shí)要求的應(yīng)用程序使用。許多l(xiāng)inux用戶使用的是硬件廠商和系統(tǒng)提供商的不開源的驅(qū)動(dòng)程序（二進(jìn)制模塊）。問題在于：雖然添加這些驅(qū)動(dòng)和模塊有用，對(duì)于linux系統(tǒng)并不一定有益。例如，一個(gè)未開源的驅(qū)動(dòng)模塊有可能控制系統(tǒng)調(diào)用并修改系統(tǒng)調(diào)用表。2.6的內(nèi)核提供了特殊的保護(hù)措施，可以對(duì)限制未開源驅(qū)動(dòng)或者模塊對(duì)內(nèi)核的訪問。這一特性增加了穩(wěn)定性，但從安全角度并沒有增加新的限制，也不能阻止黑客編寫惡意模塊。

　　許多l(xiāng)inux用戶來說，最有創(chuàng)造性的特性就是用戶模式linux了（uml），uml是linux內(nèi)核的一個(gè)補(bǔ)丁，可以允許可執(zhí)行二進(jìn)制文件在linux宿主主機(jī)上編譯并運(yùn)行。使用uml有很多好處，最有用的特性就是虛擬機(jī)。由于對(duì)uml的操作不會(huì)影響宿主主機(jī)，可以把它作為測(cè)試軟件、運(yùn)行不穩(wěn)定發(fā)行版、檢查有威脅活動(dòng)的平臺(tái)。uml最終會(huì)創(chuàng)建一個(gè)安全架構(gòu)上完全虛擬的環(huán)境。

linux與windows安全性能的重要結(jié)論

　　對(duì)操作系統(tǒng)的安全性進(jìn)行定性分析，很容易包含主觀意見，得到的結(jié)論會(huì)由于過去和現(xiàn)在的經(jīng)驗(yàn)而有很大的不同。本文的目標(biāo)是給用戶提供一個(gè)框架，讓他們更多的理解windows和linux的安全性能。下面的分析并不全面，只是終端用戶進(jìn)行評(píng)估的起點(diǎn)。linux和windows在技術(shù)上不斷進(jìn)步，究竟哪個(gè)系統(tǒng)更安全的結(jié)論也會(huì)不斷變化。本文分析的結(jié)果：linux提供了比windows更好的安全特性。

基本安全

　　微軟和linux都提供了對(duì)驗(yàn)證、訪問控制、記帳/日至、受控的訪問保護(hù)實(shí)體、加密的支持。不過linux的表現(xiàn)更好一些，因?yàn)閘inux還提供了linux安全模塊、selinux和winbind。linux用戶不需對(duì)內(nèi)核打補(bǔ)丁就能增加額外的安全機(jī)制。

linux在l之上構(gòu)建了多種訪問控制機(jī)制，例如：為應(yīng)用程序建立了單獨(dú)的空間，使它們之間相互分離，也與基本的操作系統(tǒng)隔離，這樣即使應(yīng)用程序出現(xiàn)了安全問題也不會(huì)影響操作系統(tǒng)。linux的基本安全也可以通過應(yīng)用程序增強(qiáng)，比如tripwire（可以定期對(duì)系統(tǒng)進(jìn)行關(guān)鍵文件的完整性檢查，如果文件的內(nèi)容或者屬性有變化就通知系統(tǒng)管理員）。

　　windows的限制在于基本安全是依靠mscapi的，在代碼簽名時(shí)信任多個(gè)密鑰。微軟的模型重點(diǎn)在于可以同時(shí)對(duì)一個(gè)產(chǎn)品使用弱加密或者強(qiáng)加密。盡管模塊不是以相同的密鑰進(jìn)行簽名，mscapi卻信任許多根驗(yàn)證機(jī)構(gòu)，代碼簽名也信任多個(gè)密鑰。因此只要有一個(gè)密鑰被泄露就會(huì)使整個(gè)系統(tǒng)異常脆弱。密鑰泄漏的情況：授權(quán)的代碼簽名者不小心紕漏了自己的私鑰，或者簽名機(jī)構(gòu)錯(cuò)誤的簽發(fā)了一個(gè)證書。這些情況曾經(jīng)發(fā)生，有一次verisign錯(cuò)誤的以微軟的名義簽發(fā)了兩個(gè)證書，并將這些證書的控制權(quán)交給了未授權(quán)的個(gè)人。

　　網(wǎng)絡(luò)安全與協(xié)議

　　linux與windows對(duì)網(wǎng)絡(luò)安全和協(xié)議的支持都很不錯(cuò)。兩者都支持ipsec，這是一個(gè)運(yùn)行于ip層的開放的基于加密的保護(hù)方式。ipsec能夠識(shí)別終端主機(jī)，同時(shí)能夠?qū)W(wǎng)絡(luò)傳輸數(shù)據(jù)和加密數(shù)據(jù)的過程中的修改作出判斷。linux下使用openssh、openssl和openldap，分別對(duì)應(yīng)微軟系統(tǒng)下閉合源碼的ssh、ssl和ldap。

　　應(yīng)用安全

　　由于微軟iis和exchange/outlook不斷出現(xiàn)的安全問題，linux顯得更勝一籌。apache和postfix都是跨平臺(tái)的應(yīng)用程序，比微軟的相應(yīng)產(chǎn)品更加安全。由于linux有內(nèi)建的防火墻使得其安全性有所增強(qiáng)，snort也是一個(gè)優(yōu)秀的入侵檢測(cè)系統(tǒng)。關(guān)于基于x86系統(tǒng)的linux內(nèi)核，一個(gè)很重要的特性就是ingomolnar的exec-shield，可以保護(hù)系統(tǒng)不受緩沖區(qū)或者函數(shù)指針溢出的攻擊，從而對(duì)那些通過覆蓋數(shù)據(jù)結(jié)果或者插入代碼的攻擊程序有所防護(hù)。exec-shield補(bǔ)丁使攻擊者很難實(shí)現(xiàn)基于shell-code的攻擊程序，因?yàn)閑xec-shield的實(shí)現(xiàn)對(duì)于應(yīng)用程序是透明的，因此不需要應(yīng)用程序的重新編譯。

　　微軟正在大刀闊斧的重新設(shè)計(jì)產(chǎn)品的安全架構(gòu)，并為已安裝的系統(tǒng)提供補(bǔ)丁。不過舊版本的windows產(chǎn)品仍然存在安全問題，這使得任務(wù)變得復(fù)雜。許多微軟用戶正面臨安全威脅，而補(bǔ)丁在發(fā)布之前必須做好文檔。另外，微軟傾向于將應(yīng)用程序的數(shù)據(jù)和程序代碼混合在一起，比如activex，這使得系統(tǒng)外的不可信數(shù)據(jù)也能被使用，甚至是利用不可信數(shù)據(jù)執(zhí)行任意代碼。某些情況下，windows甚至允許外部系統(tǒng)提供數(shù)據(jù)簽名的代碼，這就意味著本地的系統(tǒng)管理員也不能審查代碼，不過他仍然知道是誰對(duì)代碼簽的名。

　　在.net框架下，微軟應(yīng)用程序的安全性有所改進(jìn)。當(dāng)然，對(duì)于那些異構(gòu)平臺(tái)，例如linux、windows、unix尤其是建立在java平臺(tái)下的應(yīng)用程序，微軟的產(chǎn)品是有很大局限性的。

　　分發(fā)和操作

　　關(guān)于分發(fā)和操作，linux與微軟的側(cè)重點(diǎn)不同，linux下大部分的管理都通過命令行接口。linux的發(fā)行商也提供了各種安裝和配置工具，例如：up2date、yast2和webmin。bastille linux是一個(gè)支持red hat、debian、mandrake、suse和turbolinux的加固工具。相比之下，windows的系統(tǒng)管理員使用簡(jiǎn)單易用的gui工具，配置的時(shí)候也很容易出錯(cuò)誤。盡管一些人認(rèn)為，一個(gè)周之內(nèi)將任何人都可能成為windows的系統(tǒng)管理員，問題是他們到底對(duì)管理了解多少？微軟的安全問題，絕大多數(shù)都是由于發(fā)布與操作時(shí)的拙劣配置。windows自帶安裝和配置工具，微軟也為加固域控制器、架構(gòu)服務(wù)器、文件服務(wù)器、打印服務(wù)器、ias服務(wù)器、證書服務(wù)器和堡壘主機(jī)提供了向?qū)?，不過加固架構(gòu)與加固操作系統(tǒng)還是有區(qū)別的。

　　確信度

　　定義操作系統(tǒng)確信度的標(biāo)準(zhǔn)是公共標(biāo)準(zhǔn)（cc），這是iso標(biāo)準(zhǔn)（iso 15408）。關(guān)于確信度的等級(jí)有一個(gè)層次結(jié)構(gòu) ―― 從eal1到eal7。只有在特定的軟件、硬件和系統(tǒng)配置下，公共標(biāo)準(zhǔn)的評(píng)估才是有效的。windows的eal比linux要高，達(dá)到了eal4，而linux目前只達(dá)到了eal3。suse正計(jì)劃在年底達(dá)到eal4。機(jī)構(gòu)大部分都需要cc的確信度。即使只有客戶（甚至特指美國(guó)國(guó)防部）才需要確信度，商業(yè)產(chǎn)品滿足這一要求也是一件好事。不過大部分的用戶都不需要達(dá)到國(guó)防部的標(biāo)準(zhǔn)。

　　可信計(jì)算

　　可信計(jì)算是一種架構(gòu)，可以避免對(duì)應(yīng)用程序的修改，與廠商的通信也是安全的。許多廠商，比如intel、微軟和ibm，都在歡迎這項(xiàng)新興的技術(shù)。目前，這一功能只供展示，現(xiàn)實(shí)中并沒有可用的系統(tǒng)，因此linux和windows都不能勝任。微軟的可信計(jì)算與數(shù)字權(quán)力管理有關(guān)，而開源社區(qū)目前沒有可信計(jì)算的項(xiàng)目。

　　開放標(biāo)準(zhǔn)

　　linux要優(yōu)于windows，因?yàn)樗С炙械拈_放標(biāo)準(zhǔn)（盡管windows也支持許多相同的開放便準(zhǔn)，如ipsec、ike和ipv6，也樂意擴(kuò)展標(biāo)準(zhǔn)）。對(duì)于使用異構(gòu)系統(tǒng)并有互操作需求的公司，”標(biāo)準(zhǔn)”如果代有私有代碼，就使得對(duì)缺陷的檢測(cè)和錯(cuò)誤的修正更困難、耗費(fèi)的時(shí)間也更多。一個(gè)例子就是微軟對(duì)kerberos標(biāo)準(zhǔn)協(xié)議的擴(kuò)展。微軟提供了對(duì)kerberos票據(jù)的授權(quán)功能，盡管kerberos一開始也是按照這個(gè)目的設(shè)計(jì)的，這一功能卻一直沒有使用。微軟擴(kuò)展了kerberos標(biāo)準(zhǔn)，在處理過程中也期望其它程序共享票據(jù)的授權(quán)數(shù)據(jù)字段。因此，微軟的kerberos版本與標(biāo)準(zhǔn)不能完全交互。it經(jīng)理會(huì)發(fā)現(xiàn)：在一個(gè)異構(gòu)的it環(huán)境中，使用微軟kerberos會(huì)使得整個(gè)環(huán)境難以管理，它們需要完全的windows it架構(gòu)。

開源

　　如果安全操作系統(tǒng)的標(biāo)準(zhǔn)就是開源，那么linux顯然要優(yōu)于windows。微軟的共享源代碼計(jì)劃就是為了滿足用戶對(duì)源代碼的需要。不過，該計(jì)劃的大部分內(nèi)容都是”可看但不可修改”的情況。俄羅斯、英國(guó)、中國(guó)和北約參與了微軟的安全計(jì)劃。盡管該計(jì)劃的目標(biāo)是增加透明度和加強(qiáng)合作，如果某組織需要訪問微軟的源代碼，需要遵守各種各樣的要求。例如：并不是所有的windows源代碼都可以在線查看，因此如果用戶需要編譯并測(cè)試應(yīng)用程序，必須親自訪問微軟的總部。

新聞中心

Linux與Windows的安全性比較

其他資訊