Zugriffskontrolle: Windows vs Linux

Ich lese MIT 6.893-Vorlesungen, in denen es heißt, dass der Schutz unter Unix ein Chaos ist, kein zugrunde liegendes Prinzip . Außerdem wird darauf hingewiesen, dass Windows über bessere Alternativen verfügt, mit denen Berechtigungen über IPC von einem Prozess auf einen anderen übertragen werden können .

Obwohl es den Anschein hat, dass Windows-Benutzer mehr Viren und Sicherheitslücken ausgesetzt sind, liegt dies meiner Meinung nach hauptsächlich daran, dass die meisten Windows-Benutzer weniger erfahrene Computerbenutzer sind und die Windows-Plattform mehr Angreifer anzieht, da sie mehr Benutzer hat.

Ich würde gerne wissen, ob es detailliertere Artikel oder Artikel zum Vergleich von Sicherheitsmechanismen und -designs in Windows und Linux gibt.

linux windows security

— ZelluX
quelle

Gute Frage. Ich habe mich seit Jahren gefragt, wie * nix sicherer sein kann, da NT ein einheitliches Sicherheitsprinzip und ein gut etabliertes Mittel zur Erweiterung der Sicherheit von der Maschinenebene über den Netzwerkstapel hat. * nix verfügt lediglich über Benutzerkonten, Dateisicherheit und ein Netzwerksicherheits-Subsystem, das nachträglich eingeführt wurde.

Linux hat sowohl DAC als auch MAC. DAC ist das Benutzerkonto, MAC ist SELinux und AppArmor.

— LiraNuna

lass den Kampf beginnen;)

— Christian

Sicherheit beginnt und endet nicht mit der Zugangskontrolle. Wer schrieb, was Sie zitieren, ist gefährlich engsichtig und / oder unwissend. Es gibt buchstäblich Millionen von Artikeln zu diesem Thema, daher sollte es nicht allzu schwierig sein, einige zu finden, wenn man nur hinschaut.

— John Gardeniers

Es ist sicher eine interessante Frage, aber leider wird jedes Linux-gegen-Windows-Thema möglicherweise ein Feuerwerk generieren, daher stimme ich für den Abschluss.

— Maximus Minimus

Antworten:

Niemand würde bestreiten, dass das Schreiben von Pufferüberläufen unter Windows wesentlich schwieriger ist als unter Linux. Außerdem ist das ACL-System in Windows dem * nix-System in vielerlei Hinsicht weit überlegen (es ist weiterhin möglich, setpgid () zu verwenden, um außerhalb von chroot () / jail () zu brechen und die Pseudo-Root-Token auf die effektive UID 0 zu übertragen ).

JEDOCH.

Linux, BSD, Solaris und AIX verfügen über benutzerdefinierte Patches, die beeindruckende Sicherheitsfunktionen implementieren. Ich würde die PaX / GrSEC- Projekte nennen, die, ungeachtet von Sicherheitsmängeln in den letzten Jahren, den Standard für die Implementierung der Adressraum-Layout-Randomisierung gesetzt haben, ebenso für StackGuard, W ^ X und die zahlreichen anderen Anwendungen zur Verhinderung von Heap and Formatieren Sie Zeichenfolgen-Angriffe, damit sie nicht erfolgreich sind. Aus der Sicht des Zugangs gibt es viele Erweiterungen für das zugegebenermaßen veraltete aktuelle System.

Wenn Prozess Division Angriffe für Sie ein Anliegen sind, nicht zu sein , dass Crotchety Unix Admin, aber Windows hat gelitten weit , weit , schlimmer

Kurz gesagt, wenn Sie faul sind, sind Sie mit Windows besser dran. Wenn Sie fleißig sind, sind Sie mit * Nix oft besser dran (aus Sicherheitssicht)

— ŹV -
quelle

"Niemand würde bestreiten, dass das Schreiben von Pufferüberläufen unter Windows wesentlich schwieriger ist als unter Linux"? Sind Sie im Ernst? Es ist die häufigste Ursache für Windows-Softwarefehler und wird routinemäßig als Angriffsvektor verwendet.

— John Gardeniers

Ich würde sogar argumentieren, dass Sie mit dem, was Sie am besten wissen, besser dran sind, da es viel einfacher ist, die Sicherheit auf einem Betriebssystem, mit dem Sie nicht vertraut sind, falsch zu konfigurieren (es wäre interessant zu sehen, wie viel Prozent der Sicherheitsvorfälle tatsächlich aufgetreten sind) Ergebnis davon).

— Maximus Minimus

@John - Ich meinte prozedural: Unter Linux müssen Sie lediglich gespeichertes EIP hijacken, Bash mit einem getuid (setuid ()) - Wrapper erzeugen und in 99,9% der Fälle, in denen kein ASLR oder StackGuard vorliegt, sind Sie dazu bereit gehen. Wenn Sie jemals B0Fs in Win32 / 64 geschrieben haben, sind Sie sich der Tokenprobleme bewusst, die trivial und dennoch ärgerlich sind und Stapelzerstörungsversuche häufig stören. Dies gilt unter anderem für Schutzmechanismen, die MS implementiert. Außerdem war AFAIK, in der letzten Zeit, Use-After-Frees in Microsoft-Anwendungen (vermutlich aufgrund des / GS-Schalters) wesentlich beliebter. Entschuldigung für die Mehrdeutigkeit.

— ŹV -

Ich bin froh, dass du das erklärt hast, denn es ist sicherlich nicht so, wie ich es gelesen habe.

— John Gardeniers

Der Grund, warum das Schreiben von Pufferüberläufen unter Windows schwieriger ist, liegt darin, dass in späteren Versionen von Windows so viele Anwendungen puffern, dass sie, anstatt Tools kostenlos freizugeben, die Überläufe wie unter Unix (valgrind) zu finden, beschlossen, Speicher-Niemandsland um jeden zu platzieren Zuweisung, um die Wahrscheinlichkeit zu verringern, dass es auf einen kritischen Speicher trifft. Deshalb erscheint Windows 10 + 7 "zuverlässig und" stabil ".

— Owl

Hier ist ein detaillierter Artikel , der den Kern der Sache auf den Punkt bringt - es spielt keine Rolle, wie leistungsfähig und detailliert Ihre Zugangskontroll- und Sicherheitssysteme sind ... Wenn es zu kompliziert ist, sie richtig einzustellen, werden Sie Sicherheitslücken haben. In diesem Fall ist die Komplexität der Systeme - je größer die "Oberfläche", desto größer ist die Wahrscheinlichkeit eines Sicherheitsfehlers.

Früher habe ich das bei unseren Domaingruppen gesehen - es ist zu einfach, jemandem Zugriff auf eine gesicherte Ressource zu gewähren, wenn er sich in der falschen Gruppe befindet, wenn Sie zu viele Gruppen haben. Das Register beschreibt dies besser .

— gbjbaanb
quelle

Der Registerlink weist einige sachliche Ungenauigkeiten in Bezug auf das Zulassen / Verweigern auf, ansonsten ist dies eine interessante Perspektive.

— Maximus Minimus

Ich würde gerne wissen, ob es detailliertere Artikel oder Artikel zum Vergleich von Sicherheitsmechanismen und -designs in Windows und Linux gibt.

Diese man Töne relativ gut zu meinen unerfahrenen Augen ... ein bisschen alt und leicht vorgespannt ist , aber nicht so viel.

— Flo
quelle