深究安全威胁可能性:Linux和Windows在启动时的
第1页/共1页
深究安全威胁可能性:Linux和Windows在启动时的
关于什么是“安全”的操作系统,已经有过很多次的讨论。特别当人们对三大家庭桌面操作系统:微软Windows、苹果MacOS X和Linux系列操作系统进行比较的时间,讨论往往会变得非常激烈。我曾写过一篇文章,题目为《Linux是最安全的操作系统么?》。真正的答案是无法确定,很难得出这样的明确结论,任何特定的操作系统比另外的操作系统“更安全”。
OpenBSD引以为自豪的是,在其稳定版本的历史记录上,只出现过两个在默认配置下可以被远程连接利用的系统漏洞,但即使这样也不能说明该操作系统是“最安全”的,毕竟在评估安全效果的时间,我们要考虑到从一种系统迁移到另一种系统时,需求方面发生的变化。
归根结底,任何广泛使用的通用操作系统在理论上都可能存在缺陷。最近开始流行的虚拟机技术,可以容许在单一物理硬件平台上同时运行多台虚拟电脑,就可能导致一种特殊的潜在风险,让操作系统在受到控制的环境之外的虚拟电脑上运行:只要在系统启动的时间调整操作系统的镜象就可以实现这样的操作。对于虚拟机用户来说,这种风险变得越来越现实,他们担心恶意软件有可能摆脱虚拟机的限制,通过安装在“裸机”上的操作系统影响正常的工作。
但是,从理论上来说,只要恶意工具在机器启动过程中可以找到进入的方法,并没有具体的方法可以限制其控制虚拟机环境中的系统运行。尽管在远程环境下,这样做是相当困难的,但在这个时间,至少有一种情况是更让人担心的,安全破坏者可能直接通过物理方法连接电脑。
对于Windows和某些Linux发行版本来说,这种情况不仅仅是在理论上存在可能,而且也是一个非常现实的威胁。彼得亚雷·巴尼亚已经建立了一个可以证明这种情况可行性的概念模型,一种启动工具Kon-Boot(忘记登入密码,一样可以直接进入系统)在测试中,已经确认了在四种Linux发行版本和一系列Windows版本中的有效性。
该工具可以用于合法的目的,从安全研究到轻松恢复管理员密码已经遗失的系统都可以是它发挥作用的领域。至少,该工具的作者是这么认为的:
它可以在没有输入正确密码的情况下,让你以“root”用户的身份登陆到Linux系统中,或者从当前的用户权限提升到“root”用户拥有的权限。而对于Windows系统来说,它可以让你在没有密码的情况下进入所有受到密码保护的帐户。
如果你希望电脑免于遭受来自物理连接的任何启动破坏的话,就应该关闭所有CD、DVD和软盘启动的功能,找出除了内部硬盘驱动器以外所有可以用于引导系统的外部设备端口,并予以锁定。
除了进行锁定外,或许选择没有被该工具支持的操作系统也是一种方法,举例来说,MacOS X或者象FreeBSD一样的BSD Unix操作系统。尽管,其它操作系统受到类似的攻击也是必然的,只是时间早晚的问题,但至少在目前,你可以放心,系统是安全的。
其实,这个故事说明的道理很简单:对于电脑周围的人要小心防范,对于访问要给予有效控制。
OpenBSD引以为自豪的是,在其稳定版本的历史记录上,只出现过两个在默认配置下可以被远程连接利用的系统漏洞,但即使这样也不能说明该操作系统是“最安全”的,毕竟在评估安全效果的时间,我们要考虑到从一种系统迁移到另一种系统时,需求方面发生的变化。
归根结底,任何广泛使用的通用操作系统在理论上都可能存在缺陷。最近开始流行的虚拟机技术,可以容许在单一物理硬件平台上同时运行多台虚拟电脑,就可能导致一种特殊的潜在风险,让操作系统在受到控制的环境之外的虚拟电脑上运行:只要在系统启动的时间调整操作系统的镜象就可以实现这样的操作。对于虚拟机用户来说,这种风险变得越来越现实,他们担心恶意软件有可能摆脱虚拟机的限制,通过安装在“裸机”上的操作系统影响正常的工作。
但是,从理论上来说,只要恶意工具在机器启动过程中可以找到进入的方法,并没有具体的方法可以限制其控制虚拟机环境中的系统运行。尽管在远程环境下,这样做是相当困难的,但在这个时间,至少有一种情况是更让人担心的,安全破坏者可能直接通过物理方法连接电脑。
对于Windows和某些Linux发行版本来说,这种情况不仅仅是在理论上存在可能,而且也是一个非常现实的威胁。彼得亚雷·巴尼亚已经建立了一个可以证明这种情况可行性的概念模型,一种启动工具Kon-Boot(忘记登入密码,一样可以直接进入系统)在测试中,已经确认了在四种Linux发行版本和一系列Windows版本中的有效性。
该工具可以用于合法的目的,从安全研究到轻松恢复管理员密码已经遗失的系统都可以是它发挥作用的领域。至少,该工具的作者是这么认为的:
它可以在没有输入正确密码的情况下,让你以“root”用户的身份登陆到Linux系统中,或者从当前的用户权限提升到“root”用户拥有的权限。而对于Windows系统来说,它可以让你在没有密码的情况下进入所有受到密码保护的帐户。
如果你希望电脑免于遭受来自物理连接的任何启动破坏的话,就应该关闭所有CD、DVD和软盘启动的功能,找出除了内部硬盘驱动器以外所有可以用于引导系统的外部设备端口,并予以锁定。
除了进行锁定外,或许选择没有被该工具支持的操作系统也是一种方法,举例来说,MacOS X或者象FreeBSD一样的BSD Unix操作系统。尽管,其它操作系统受到类似的攻击也是必然的,只是时间早晚的问题,但至少在目前,你可以放心,系统是安全的。
其实,这个故事说明的道理很简单:对于电脑周围的人要小心防范,对于访问要给予有效控制。
newxw- 初级会员
- 帖子数 : 57
注册日期 : 10-04-09
年龄 : 37
第1页/共1页
您在这个论坛的权限:
您不能在这个论坛回复主题