网站安全与操作系统的关系

遇见风角

说到操作系统的安全性，web服务器通常使用的系统就是windows和linux了（UNIX系一般没有多少ISP会蛋疼的去用它）。一般人，尤其是没有技术基础的新人肯定会觉得linux的服务器要比windows的服务器安全系数高，事实上是不是这样呢？下面分几个方面大概说一下。
    1、操作系统的漏洞本身。只要是人写的程序，就必然会存在漏洞，这是无可避免的一种情况，linux也概莫能外。有兴趣的朋友可以去搜索一下linux的漏洞，可能结果会让你有些吃惊，sebug.net上列出了足足58页的漏洞，这还未必是涵盖全部的，而搜索windows的漏洞呢？sebug没有列出windows的单独条目，使用搜索功能后得到的结果是50页，当然这也不是全部的。看到这个结果可能你会觉得有点奇怪，号称更安全的linux漏洞数量居然在这里超过了号称不安全的windows。原因就在于linux也是人写的系统，也一样会存在漏洞。关于开源系统和商用闭源系统哪个好的问题也一直是个争议点，不过有一点毫无疑问的是开源系统维护起来要复杂得多，因为人人都可以对它进行修改，而商用闭源系统有比较完善的统筹规划，两者只能说各有所长，真要说谁盖过了谁，那可真不一定。经常看到有些极客推崇linux，那是因为他们站在纯技术的角度，转换到了最终用户的角度，就是另一回事了。
    2、操作系统的漏洞补丁。linux在这里受益于开源机制，漏洞可以比较快的发现并且得到修补，但linux的设计思想使得有时候更新补丁非常的麻烦，一般人没点脚本基础的根本玩不来，windows则是由微软统一发布对应操作系统的补丁，时下也有很多安全类软件会自动下载安装这些补丁，操作系统的漏洞修补方面，微软似乎还是要略站上风。另外管理员的素质也是一个问题，能不能及时的对发布的补丁进行及时的修补，也是系统是否安全的一个因素。
    3、易用性和用户群。linux的易用性是桌面化的一个比较大的阻力（另一大阻力来自于软件），普通人不会用也用不好，windows该有的东西都有了，比较容易用，会动动鼠标就行了。造成的结果就是用户群方面的巨大差距，至少在中国是如此，由于第二条的原因，windows的漏洞带来的灰色价值往往超过linux，所以研究windows漏洞并且利用的人也超过了linux（玩linux的往往不是装B的就是极客一族），还是票票推动了这些问题。
    4、易用性和安全性。这是一对矛盾，要想容易用，意味着要集成很多东西进去，不需要用户动脑筋，而从安全的角度来说，开放的进程和服务越少越好，越多，就意味着越不安全，windows默认总是开很多服务的，而linux默认开启的则少很多，所以会造成windows不如linux安全的表象。实际上经过配置后，安全性方面真要说谁好，也不是那么一定。
    5、现在的网站安全问题大多来自于网站程序本身，主流还是sql注入，从这个角度来说，网站本身的安全与否更多的是依赖程序，而非操作系统，当然操作系统的安全设置程度决定了入侵者能够造成多大的破坏能量。
    我写本文只是为了让新手们了解linux一定比windows安全这样一个认识，事实上windows的设计确实有其缺陷，有些方面比不上linux，具体哪些方面就又是长篇大论了，不过真要说linux的安全表现一定强就不一定了，这是一个综合的问题。