Linux eller Windows serveren? (del 4)

Alvorlige sikkerhetshull

Sikkerhet: Alvorlighetsgrad av sikkerhetshull

Windows har gjennom tidene vært preget av en rekke sikkerhetshull av ulik alvorlighetsgrad. Dersom man tar en kikk på BugTraq kan man kanskje få inntrykk av at det finnes et enormt tall av sikkerhetshull i Linux - større enn tilfellet synes å være for Windows.

Sikkerhetshull er naturligvis ikke noe som bør feies under teppet, men viktige poeng er å se på alvorligheten av problemene og hvor raskt de blir fikset.

Her må man også ta utviklingsmodellen til Windows og Linux i betraktning. Microsoft utvikler etter en modell der Windows i utgangspunktet skal være et ferdig produkt når det lanseres, mens Linux på mange måter er under kontinuerlig utvikling.

Det vil være naturlig at det rapporteres om mange bugfikser i et produkt som stadig er under utvikling. Selv om det naturligvis slippes "stable"-versjoner av programvare for Linux er utviklingsmodellen basert på tilbakemeldinger fra "communities" og brukere.

Med store "communities" i ryggen har Linux fordelen av raske bugfikser og sikkerhetsoppdateringer, og det er en kjensgjerning at det vanligvis går svært mye raskere enn Windows. Det har blitt gjort flere undersøkelser på dette og flesteparten viser at andelen av alvorlige sikkerhetshull er relativt mye høyere i Windows.

Ifølge en artikkel hos The Register som ble publisert i fjor fant man at nærmere 40 prosent av sikkerhetshullene i Windows 2003 Server var kategorisert som "kritiske", mens bare 10 prosent hadde samme nivå på RHEL3.

Du kan lese hele artikkelen her: Security Report: Windows vs Linux

Microsoft har absolutt blitt bedre de siste årene med tanke på sikkerhetsoppdatering , etter at man tilsynelatende endret mye av filosofien med senere versjoner av Windows XP og senere Windows 2003 Server. Brukervennlig og automatisert sikkerhetsoppdatering fører til at hullene blir fikset, men man har allikevel en periode i mellomtiden der man er sårbar inntil Microsoft faktisk har fikset problemet.

I 2003/2004 gjorde Microsoft seg spesielt bemerket ved å gå i spissen for å ikke publisere sikkerhetshull o.l. på BugTraq før leverandøren hadde fikset disse. Selv om selskapet fikk gjennomslag for mange av sine meninger og kanskje får en liten "grace"-periode, hjelper det likevel ikke dersom "patchen" legges ut alt for sent.

Stadig økende press fra kunder og sammenlikning med raskt "patche"-tempo i Linux har ført til at Microsoft Windows i dag fremstår som et helt annet produkt enn det tilfellet var for en tid tilbake siden.

Linux stikker likevel av som vinneren i denne sammenlikningen fordi hullene ganske enkelt fikses raskere og alvorlighetsgraden er mindre.

Patching kan gi problemer

Sikkerhet: "Patching" kan føre til nye problemer

Når man gjennomfører en sikkerhetsoppdatering gjøres det vanligvis en rekke endringer i programvaren. Dersom man man har et svært sammensatt programbibliotek kan dette i verste fall føre til versjonskonflikter mellom forskjellige moduler som benyttes av applikasjonene.

Et praktisk eksempel er et tilfelle der man gjennomfører en sikkerhetsoppdatering av PHP på en eller annen Linux-distribusjon som benyttes som webserver og etter fullendt "patching" merker at funksjonalitet har forsvunnet fra visse nettsider.

Problemet er velkjent for de fleste Linux-systemadministratorer som drifter komplekse systemer med hundrevis av kunder der man kjører et utall av forskjellige webapplikasjoner.

Et av de verste eksemplene finner vi faktisk med FreeBSD for en stund tilbake der man hadde lagt opp ports-treet på en litt annen måte enn tidligere - noe som førte til at man måtte kompilere inn PHP og modulene på en helt annen måte enn tidligere.

De fleste problemer kan man naturligvis unngå ved å lese dokumentasjonen grundig på forhånd. Dette skal imidlertid ikke alltid være nødvendig for effektiv, rask og trygg serverdrift.

Microsoft har også vært borti lignende problematikk med sine "patcher" - bl.a. i forbindelse med en oppdatering for IPsec som førte til at nettverksgrensesnittet plutselig ikke ville fungere lenger.Selskapet har imidlertid langt bedre statistikk på fortsatt kompatibilitet etter oppdatering enn det tilfellet er for mange av Linux-distribusjonene.

Aner vi en liten ulempe med Linux? Kan dette løses? Svaret på begge spørsmålene er "Ja".

Linux er svært modulbasert og gir enestående fleksibilitet ettersom man kan kompilere nærmest hvert eneste bibliotek med ønskede parametere. Forskjellige typer programvare kan dele enkelte biblioteker, men kan ha forskjellig preferanse på versjonsnummere. På standard Linux-distribusjoner som eksempelvis Fedora, Gentoo og Debian kan dette være et stort problem ettersom man gjerne ligger i forkant rent teknisk med siste skrik i versjonsnummere.

"Patching" av sikkerhetshull uten å oppgradere selve versjonsnummeret har også vært en kjent problematikk både i Linux og BSD. Det er naturligvis mulig å gjennomføre dette, men man skal mange ganger ha "tunga rett i munnen".

Ulempen med Linux og sikkerhetspatching er at man må vite hva man gjør, pløye mange ganger gjennom dokumentasjon og bruke tid for å få ting til å fungere.

Finnes det gode Linux-alternativer der ting bare fungerer? Svaret kan ligge i såkalt Enterprise Linux. Red Hat Enterprise Linux og Novell Suse Linux Enterprise Server representerer begge gode alternativer for bedrifter der man vil ha garanti for at en sikkerhetsoppdatering ikke ødelegger funksjonalitet og gir eventuell uforutsett nedetid.

Du kan lese mer om Enterprise Linux her:

Ormer, virus, malware

Sikkerhet: Ormer, virus og malware

Når man ser på sammenlikning av antall ormer/virus/malware på Windows kontra Linux er det liten tvil om at førstnevnte er langt mer utsatt.

Grunnen til dette er sammensatt, men følgende punkter er svært sentrale:

  • Bruksområder
  • Brukere
  • Utbredelse
  • Arkitektur

Windows og Linux har forskjellige utgangspunkt. Linux har på mange måter vært sterkere knyttet til servermiljøer, mens Windows vanligvis har rettet seg mot områder for brukervennlighet - dvs. desktop.

Servere og arbeidsstasjoner benyttes på forskjellige måter. Desktop-maskiner er gjerne mer dynamiske ved at nye applikasjoner installeres, avinstalleres og konfigurasjonen endres stadig. De fleste servere konfigureres én gang for deretter å rulle og gå i samme miljø over lang tid.

Et system med høyere frekvens av endringer har gjerne større sjanse for å bli infisert ettersom sjansen for eventuelle sårbarheter stiger ettersom man stadig må inn med ny konfigurasjon og programvare.

I forhold til bruksmønstere er derfor desktop-maskiner gjerne mer utsatt enn servere - ihvertfall så lenge serverne er konfigurert skikkelig. Tradisjonelt har servere også vært utsatt på sin måte ettersom de gjerne alltid er på nett. Dette har blitt mer utjevnet de siste årene siden stadig flere hjemmebrukere sitter på en eller annen DSL-teknologi.

Kompetansenivået på den generelle Windows-bruker har vanligvis vært lavere enn det tilfellet har vært for Linux, noe som spesielt faller sammen med desktop-segmentet.

Sjansen for at et spennende virusinfisert vedlegg på e-posten vil bli åpnet i Windows er nok derfor større enn på Linux.

I forbindelse med arkitekturen bak operativsystemet har både Windows og Linux sine klare ulemper. Brukskulturen gir imidlertid Windows det største sikkerhetsproblemet ettersom den tradisjonelle Windows-destopbrukeren nesten alltid logger inn som "Administrator" og lett kan legge systemet åpent for angrep eller feilkonfigurasjon.

Virus, ormer, malware, rootkits og annet snusk finnes for de fleste operativsystemer. Windows er imidlertid mest utsatt og brukskulturen har kanskje den største delen av skylden.

Klokere av case-studier

Kan case-studier gi deg svaret?

Microsoft opererer med en "Get the Facts"-kampanje som eksponeres gjennom bannervisninger på mange forskjellige nettsteder over hele verden.

Ifølge Microsoft overgår Windows Linux både med tanke på totalkostnad, stabilitet, sikkerhet og såkalt "indemnification" (dvs. at eventuelle rettslige krav håndteres av leverandøren).

Du kan se "Get the Facts"-kampanjen i sin helhet hos Microsoft.

Andre case-studier påstår det fullstendige motsatte, eksempelvis de som man får fra Novell, Red Hat og IBM.

IBMs case-studier ligger gjemt under hver enkelt produktserie, men det finnes mange som understøtter Linux - bare se her:

Man skal være klar over at mange av disse case-studiene ikke nødvendigvis vil gi fullstendig riktig bilde ettersom de gjerne er produsert av leverandøren selv og optimalisert for å gi riktig bilde utad. Kikk gjerne også etter objektive konklusjoner på diverse nettsteder og fra analyseeksperter som Forrester Research og Gartner Group.

Case-studier gir naturligvis en viss pekepinn, men kan også gi farlige generaliseringer som eksempelvis "Operativsystem X gir bedre funksjonelle skaleringsmuligheter enn operativsystem Y over tid". Studien skal "matche" ganske bra med ditt eget prosjekt for at du skal få likt utfall og det er en rekke faktorer som spiller inn.

Oppsummering

Denne artikkelserien har forsøkt å dekke noen av de sentrale områdene som gjerne er aktuelle når man skal velge mellom Linux og Windows.

Nedenforstående liste viser en liten oppsummering av det disse artiklene vil konkludere med (skala fra 1 til 6, der 6 er best).

 LinuxWindows
64-bit støtte53
Brukervennlighet46
LAMP/WISA stack65
Konfigurerbarhet64
Dokumentasjon54
Maskinvarestøtte56
Generelt kompetansenivå på sysadmin54
Fleksibilitet63
Sikkerhet: Utbredelse54
Sikkerhet: Kildekode54
Sikkerhet: Sentral styring35
Sikkerhet: OS-arkitektur55
Sikkerhet: Antall sikkerhetshull34
Sikkerhet: Alvorlighetsgrad, sikkerhetshull53
Sikkerhet: Stabilitet55
Sikkerhet: Ormer, virus, malware53
Juridisk garanti/beskyttelse ("indemnification")46

Det er vanskelig å komme med noen generell anbefaling i forhold til Linux vs. Windows. Trenden taler imidlertid for seg: Linux er det raskest voksende operativsystemet for tiden og det er naturligvis en grunn til dette.

Når selveste IBM utvider sin egen portefølje til Linux i tillegg til AIX forstår man kanskje at her er det noe stort på gang. Flere av de store hardware-leverandørene har dratt inn Linux som et sentralt produkt i sine serier, men IBM er kanskje en av de som satser hardest

Fri programvare og Linux blir også stadig mer aktuelt i ulike offentlige organ og skoler der man tilsynelatende trykker kostnadsbesparelser, åpne standarder og friheten til sitt bryst. Se for eksempel Skolelinux.

Det er definitivt ikke slik at Linux vil være det beste valget i alle sammenhenger og man bør vurdere tilfelle for tilfelle. Et mulig alternativ kan være å dra inn virtualisering dersom man ønsker å ta overgang gradvis eller kjøre noen systemer på et annet system. Virtualisering kan også benyttes til konsolidering på enten den ene eller andre plattformen.

Avgjørelse bør tas på totale kostnader, kompetanse, driftsmiljø og eventuelle spinoff-effekter i forbindelse med markedsføring, posisjonering, osv. Trolig er det også andre aspekter du vil vurdere - uansett bør kanskje avgjørelsen innvolvere både administrasjon, teknisk avdeling og eventuelle brukere.

Selv om Linux pr. dags dato tar flesteparten av kundene fra Unix-plattformen er det liten tvil om at bølgen av open-source utgjør en stor trussel mot Windows-plattformen. Linux har blitt erklært "Enterprise Ready" (ref. Forrester Research, IBM) og stadig nye, spennende initiativ settes i gang både fra Novell, Red Hat, Ubuntu og Mandriva.

Tidligere spådommer gir Linux omtrent 40 prosent markedsandel i serversegmentet innen 2008. Slik situasjonen ser ut i øyeblikket er det ingen grunn til at andelen ikke kan bli enda høyere lenger frem i tid.

Les også
Ikke forvent Vista før 2007?
Les også
Satser sterkt på SUSE-merkenavnet
Les også
Risiko ved å velge Linux? (Del 1)
Les også
OpenPower/Linux vs Solaris/Sparc, x86-64
Les også
Linux eller Windows på serveren? (del 3)
Les også
Satser tungt på open-source
Les også
Linux eller Windows på serveren? (del 2)
Les også
Linux eller Windows på dine servere?
Les også
Red Hat, Oracle for enterprise open-source
Les også
Store besparelser med sentralisert drift
annonse