В статье "Исследование на тему: какая ОС безопаснее? (http://www.securitylab.ru/analytics/311005.php)" предпринята очередная попытка сравнения уровня безопасности операционных систем. Как и в других подобных статьях, допускаются следующие ошибки:- Сравнивается общий объем уязвимостей найденных в сравнительно небольшом числе программ входящих в состав Windows c огромной базой программ поставляемых в современных Linux дистрибутивах;
- При оценке скорости выпуска исправлений производится подмена понятий, и вместо оценки общего времени существования уязвимости, измеряется время от официального объявления о наличии проблемы, до выпуска исправлений. В мире закрытого ПО, как правило, наличие уязвимости признают перед самым выпуском обновления, поэтому в время реакции у них, следуя логике данного исследования, получается меньше. Для Red Hat же такой метод позволил растянуть среднее время устранения уязвимости до 106 дней, Solaris - до 167.Сравнивалась безопасность продуктов выпущенных в 2006 году: Apple Mac OS X,·Microsoft: Windows 2000 (Professional и Server), Windows XP, Windows Server 2003, Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3 и Red Hat Enterprise Linux 4, SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, и SUSE Linux Enterprise Desktop 10, Все версии Solaris, исправленные в 2006.
PS. В оригинале статьи не упомянуто, что она целиком базируется на данных из блога Jeff Jones (http://blogs.csoonline.com/blog/jeff_jones), и является почти копией материала "Days-of-risk in 2006 : Linux, Mac OS X, Solaris and Windows (http://blogs.csoonline.com/days_of_risk_in_2006)". Кстати говоря Jeff Jones руководит разработкой стратегии безопасности в Microsoft, этим и объясняется предвзятость его суждений.URL: http://www.securitylab.ru/analytics/311005.php
Новость: http://www.opennet.me/opennews/art.shtml?num=13503
простите, а у нас вообще существует хоть одна адекватная, не предвзятая статья о безопасности вообще?
Конечно. Та, котора основана она на законах Паркинсона :-Р
> простите, а у нас вообще существует хоть одна адекватная,
> не предвзятая статья о безопасности вообще?Есть! Публикации zero days exploit'ов! :)
У микрософт как всегда все круто на бумаге но жопа на практике.Они МЕСЯЦ **ут вола, извините.Почти гарантированно.Даже если уже сплойт есть и полный ахтунг - они только в самых критичных случаях могут скостить срок выпуска апдейтов.Трудно найти вендора который бы столь же тормозил в плане секурити.А секуритилаб...достаточно посмотреть чьи там баннеры висят и какая подпись внизу.Логично что за денежки MS ругать оный как-то не полагается.
И тем не менее. Винда - на порядок безопаснее.
ага, конечно - особенно если вспомнить бесчисленные зомбированные машины
А плювать на них. Серваки стоят.
ага, в dmz :)
>А плювать на них. Серваки стоят.Стоят. В стойке. Просто ещё не написан вирус, от которого бы виндовый сервер выпадал из стойки.
>А плювать на них. Серваки стоят.Если серваки просто стоят - адми не получит за это по башке?
>И тем не менее. Винда - на порядок безопаснее.Да ну.А горы спама в моем инбоксе - это по вашему с линуксных машин чтоли?Не смешите мои тапочки.По дефолту в винде юзер - админ, часть сервисов за каким-то хреном под SYSTEM, встроенный файрвол крайне ублюдочный а браузер так и норовят отыметь на каждом порносайте.Если считать так как удобно микрософту - да, windows секурнее.Если сравнить лыысый виндусь без всего против линукса с кучей апликух - тут конечно легко и просто.Вот только весь вопрос в том какая лиса и в чьем курятнике цыплят считает.
Можно посчитать и не так как удобно MS.Например, как давно можно было гольный линукс без куч дырявых демонов ремотно шарахнуть эксплойтом и выполнить там свой код?Ну хоть как юзер?А то же самое для винды - мне как, соответствующую и недавнюю дырень зацитировать или сами найдете?Такой вот секурити.Get The Facts.Можно нечаянно накопать всеми забытый сервак с весьма достойным аптаймом все еще не хакабельный ремотно.Конечно же не под виндами - там или ребут раз в месяц или система решето, на выбор.
Если сравнить виндусь на десктопе - тут и тут слив однозначный.Винды нереально использовать просто так.Надо заменить родной браузер на что-то еще, поставить приличный антивирус, файрвол и антиспайварь, накатывать на систему апдейты.Вот тогда, может быть, со всеми этими заплатами вас и не того.И то без гарантий.И кстати данные тулзы имеют противное свойство быть не бесплатными а также здорово жрать ресурсы системы.В итоге я года полтора как отказался от винды в пользу линукс.Вопрос на засыпку: почему у меня теперь нет всего этого геморроя но при этом нет у троянов, спайвари и вирей?И что еще интереснее - почему это все еще и бесплатно? :)))
Хмм, ну публиковать на Опеннете ссылки на всякую желтую прессу мовитон!!! Давайте теперь тут на ленту.ру постить начнем и тп. Что за манеры вообще!
Практика критерий истины.
Практика:
бухгалтерию на 10 виндовых компов обслуживает 1 человек, 70% времени - антивирусы, проверки, переустановки.
Сеть на 22 компа (назовем их серверами) (18 FreeBSD, 4- Linux) обслуживает 1 человек, 90% времени - совершенствование и обслуживание билинговой системы...
>Практика:
>бухгалтерию на 10 виндовых компов обслуживает 1 человек, 70% времени - антивирусы,
>проверки, переустановки.
>Сеть на 22 компа (назовем их серверами) (18 FreeBSD, 4- Linux) обслуживает
>1 человек, 90% времени - совершенствование и обслуживание билинговой системы...Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со сквидом и +1 цыско).
Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)В планах компании на будущий год: 350 XP, +1линукс со сквидом и +1 цыско и ещё ОДИН человек (итого ДВА). И никуда не денемся, всё будет работать как часы... ;)
>Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со
>сквидом и +1 цыско).
>Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)
>
>В планах компании на будущий год: 350 XP, +1линукс со сквидом и
>+1 цыско и ещё ОДИН человек (итого ДВА). И никуда не
>денемся, всё будет работать как часы... ;)А я вот помню как одно критичное обновление привело к БСОДу на серваках, так как было не совместимо с сервисом от APC UPS (вернее наоборот).Каково прервать отпуск и за сутки вылететь из египта назад?
А второй админ что? И почему обновления сами собой поставились? И почему MS виновато что APC кривой софт написали? И что, в каком-либо линукс есть АБСОЛЮТНАЯ гарантия безпроблемных обновлений?>А я вот помню как одно критичное обновление привело к БСОДу
> на серваках, так как было не совместимо с сервисом от
>APC UPS (вернее наоборот).Каково прервать отпуск и за сутки вылететь
>из египта назад?
>А второй админ что? И почему обновления сами собой поставились? И почему
>MS виновато что APC кривой софт написали? И что, в каком-либо
>линукс есть АБСОЛЮТНАЯ гарантия безпроблемных обновлений?Всегда обновлял линуксы безпроблемно. (Шапка/Сентос, Дебиан), Да и с чертом проблем небыло.
>А второй админ что? И почему обновления сами собой поставились? И почему
>MS виновато что APC кривой софт написали? И что, в каком-либо
>линукс есть АБСОЛЮТНАЯ гарантия безпроблемных обновлений?Абсалютной нет, но вот что в винде это регулярно случается, а в серверных пингвинах я даже не слышал о таких вещах, хотя видимо что то когда то проскальзывало. Опять же, что значит обновлять пингвина? Обновляют обычно что то одно и под конкретную ошибку, это вот камень в секлабную статью, в отличии от виндовс с их манерой по несколько лет молчать о кретичных уязвимостях, в никс мире о таких вещах все узнают как только инфа попала к разработчикам.Так как число продуктов схожих по функционалу обычно несколько, то пользователи привыкли довольно шустро с одного на другой перескакивать. Так вот я магу себе совершенно спокойно забить на все обновления пингвинов на месяцев. Забив на полмесяца в винде на обновления я с большой долей вероятности получу по приезду озверелых пользователей с постоянно перезагружающимися компами, или что то типа того.
>А я вот помню как одно критичное обновление привело к БСОДу
> на серваках, так как было не совместимо с сервисом от
>APC UPS (вернее наоборот).Каково прервать отпуск и за сутки вылететь
>из египта назад?Значит нужно вырубать всус перед уходом в отпуск. Запомню. :-)))
>[оверквотинг удален]
>>1 человек, 90% времени - совершенствование и обслуживание билинговой системы...
>
>Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со
>сквидом и +1 цыско).
>Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)
>
>
>В планах компании на будущий год: 350 XP, +1линукс со сквидом и
>+1 цыско и ещё ОДИН человек (итого ДВА). И никуда не
>денемся, всё будет работать как часы... ;)Так епт. у тебя же винда не в сети - ее прикрывает линух, наверное на сквиде стоит еще и антивирус который сканирует веб трафик.
А вот что хотел спросить - почтовый сервак у вас под чем крутится (уж не на линухе ли?)
>Так епт. у тебя же винда не в сети - ее прикрывает
>линух, наверное на сквиде стоит еще и антивирус который сканирует веб
>трафик. А вот что хотел спросить - почтовый сервак у вас под чем
>крутится (уж не на линухе ли?)Клиенты закрываются не потому, что там винда, а потому что это клиенты. Линуксовые клиенты точно так же были бы закрыты. И неважно чем, цыской или линуксом. Разговор вообще не о том. Некий товарищ сказал, что на 10 компов с виндой надо одного админа. Что есть бред, конечно же... :) Кстати, сквид можно легко заменить какой-нибудь виндовой проксей и тогда юниксов будет ноль. А можно не заменять. ИМХО один фиг...
>Кстати, сквид можно легко заменить какой-нибудь виндовой
>проксей и тогда юниксов будет ноль. А можно не заменять. ИМХО
>один фиг...слова, слова... имею МС ИСА 2000 неделя-две и требуется перезагрузить... по казахстанским проф. нормам требуется 1 человек на 100 устройств/машин...
>Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со
>сквидом и +1 цыско).
>Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)На глюки MSI Installer еще не нарывались.А оно это умеет.На хорошие вирусные атаки качественной вирусней.На помирание AD (а оно умеет если не повезет).И кстати если не уделять антивирусным проблемам достаточно внимания - юзеры ловят вирье на порносайтах влет.И далеко не все из них ловится антивирями так сходу.А часы бывают разные.Некоторые и на час в сутки трындят, как бы ваши машины такими не оказались.В нормальных конторах такой парк железа минимум 3 админа админит.Если конторам на даунтайм не пофигу и они не считают админа персональным рабом который должен жить в серверной на работе.
>Практика:
>бухгалтерию на 10 виндовых компов обслуживает 1 человек, 70% времени - антивирусы,
>проверки, переустановки.
>Сеть на 22 компа (назовем их серверами) (18 FreeBSD, 4- Linux) обслуживает
>1 человек, 90% времени - совершенствование и обслуживание билинговой системы...Сети какие то детские.
Ссылки на Секлаб публиковать нужно и высказывать СВОЁ мнение тоже нужно. А что касается секлаба, то давно уже он пиарит творения MS. Главное чтобы всгеда были и другие точки зрения!
В топку такие "сравнения". Есть более простая методика: соберите статистику по числу заражённых машин под управлением различных ОС.
Ну, при этом нужно сравнивать еще и количество компьютеров под управлением винды и под управлением других операционных систем. Давайте не будем превращать Опеннет в филиал ЛОРа.Защищенность любой операционной системы зависит от прямизны рук пользователя, владеющего правами администратора.
>Защищенность любой операционной системы зависит от прямизны рук пользователя, владеющего правами администратора.Ну тогда винда - проприетарный аналог LFS.
но но , руки прочь от LOR-а , один из самых вменяемых форумов , а последнее время opennet читать противно стало из-за тучи сто лет назад разобраных вопросов .а серьезно относится к пеарам MS честное слово глупо , типа то-го , же что слушать выступления проститукок-парламентариев . во загнул :)
зы, у кого есть gcc скомпильте http://pastebin.org/14039 и проверьте на любителях MS
по теме , уязвимости больше года , но пользователи об этом понятия не имеют.
а openbsd?
>а openbsd?А что OpenBSD? Например так http://sda00.blogspot.com/2007/12/openbsd-e17-cvs.html
http://www.vista.nsk.ru/?article=17 - вот тут уже тоже прокомментировали...
Да пилят пипец ))))) !! Скажите мне когда это винда была безопасной ?Сейчас в наличии имею прядка 300 серверов под управлением разных систем в основном преобладает FreeBSD (вот только скорости файловой системы ей не хватает), очень нравится еще пара Gentoo, openSuSE и Debian. за 4 года еще ниразу ни одну не похакали )))
А есть еще у меня одна винда в сети так с ней вообще пипец ((( Переустановка железно раз в пол года. (Если честно я его и готовить не умею ибо с 97 года сижу на Unix и проблем не знаю есть все что мне нужно и к тому же бессплатно)
Я вообще не понимаю зачем такие сравнения делать.
если как говоритсья религия не позволяет использовать софт бессплатно то купите поддержку у Novell на линукс ихний. Благо она не дорогая всего 300 зелени в год.
И еще один глуппый вопрос Зачем на сервере GUI который дохрена ресусов съедает и смысловой нагрузки на себе никакой не несет
>Переустановка железно раз в пол года.Попробуйте выпрямить руки. У меня около 30 машин под управлением Windows XP, на которые постоянно накатываются обновления (винда лицензионная) и ничего не приходится переустанавливать, и не тормозит ничего. Следить надо за системой, вот и все :) Биллинг стоит полностью на винде и нчиего почему-то не глючит, Стоят mssql также, терминальный сервер, два DC. На самом деле, пояиг какая система стоит, если хороший специалист, то все работать будет.
5+
> если хороший специалист, то все работать будетя, например, представляю, как внутри устроено большинство сервисов в Unix, которыми я пользуюсь. если я чего-то не знаю, у меня есть исходники для изучения и вся ночь впереди + утилиты типа strace.
вот, к примеру, написанный для Win Cisco CCM (Cisco Call Manager, довольно странная вещь!) переставал работать в руках сертифицированного специалиста каждую неделю-две.
заменили на галимый opensource Asterisk под Linux... специалист по Asterisk уволился около года назад, а я до сего дня заходил на тот сервачок только чтобы добавить еще одно правило в firewall.
вот вам и закрытые технологии.
Будете управлять хотя бы 500-ми машинками поймете о чем речь.