• 1

一则新闻：Linux servers 'attacked more often'

文章提到，一个英国的安全公司的对今年一月份发生安全攻击做了调查，在成功的安全攻击中，有约80%（共计13,654次）是成功攻击了Linux服务器，只有2,005次是成功的攻击了Windows服务器。

文章的基调是比较中立的，文章分析道：

However, the sharp rise in Linux breaches probably reflects a lack of training and deployment expertise rather than inherent security problems within Linux, mi2g officials suggested.

它认为针对Linux的安全攻击成功次数上升是因为很多采用了Linux的公司并未正确的配置、管理Linux。文章认为问题出在他们的网管而不是Linux本身——但Windows上的安全问题又何尝不是这样！去年一月份的SQL Server蠕虫，还有去年7月针对RPC的蠕虫，其攻击的安全漏洞都是微软早就发布过公告的，只是很多人都没有打补丁。

这再次印证了安全学方面的一个基本观点：安全问题首先是人的问题，然后才是技术的问题。世界上没有绝对安全的系统，如果疏于管理、没有正确配置，就算是FreeBSD也照样会被攻击、入侵。就像这片新闻后面的网友评论所说的：

From my experience, GNU/Linux systems are more likely to be attacked. It's less secure than Windows when unpatched and more secure when patched. ... So many people experiment with GNU/Linux, turning on every service and leaving them unsecured and unpatched.

从这个角度来说，无论是Linux还是Windows，在安全方面最大的问题都不是产品本身，而是用的人有没有实践一些基本的安全原则，例如“Default to a secure mode”、“Apply the principle of least privilege”、注意经常打补丁等。补丁是一定要打的，并不只是Windows才有补丁。Linux照样需要打补丁，照样会有安全漏洞。 那些以为只要把Windows换成Linux，就可以一劳永逸高枕无忧的人，大错特错了。