Linux 比 Windows 安全主要体现在哪里？

Windows 不管用不用的上，都给你装一堆东西，单单就这一条，增加了攻击面。

@nguoidiqua apt 包里面也有 post hook 一样会用 root 运行。

1. apt 的 root 是给 apt 用的，不是给安装的程序用的，具体体现在文件的权限在 inode，进程的权限在 task_struct
2. SELinux，apparmor，Cgroups 这些可用的安全工具运行时检查，kalsr，mmap_min 限制，kernel stack canary 这些安全机制
3. linux 的安全机制更新相当频繁，比如 eBPF，KASAN 家族的一堆工具，Kfence，KPTI，freelist randomization 等等等都是最近 3 年内新加入 mainline 的，除此之外还有 grsecurity 的一堆机制等着合并。
4. 最后一点是漏洞曝光和修复比较及时，比如 syzkaller 和邮件列表里面随时更新的一堆

2019 年漏洞数量最高的软件排名分别是 Android 、Debian Linux 、Windows Server 2016 、Windows 10 、Windows Server 2019 、Adobe Acrobat Reader DC 、Adobe Acrobat DC 、cPanel 、Windows 7 、Windows Server 2008 。

linux 好像并没有更安全，是用户群体平均水平高一点罢了。

Linux 哪里比 Windows 安全了？？？小白用 Linux 还不如用 Windows 安全呢。

Linux 再安全，也顶不住一键安装脚本和各种面板啊

win 用的多，利益更大，才能驱使黑客下手

不知道安不安全，
但是好处有一个好处，
windows 下，用搜索引擎搜索软件安装，小白经常会从第三方下载软件安装，结果被附带安装一堆全家桶。
而 linux 各个发行版基本都有自己的软件仓库，
虽然仓库里面也有些没被发现的恶意软件，但事实至少比 windows 中招的几率低点。

敢用 linux 的一般都有些基础，知道最基本的防护，而且安装软件不会多，大多都是从正式地址装，无形中就已经比 windows 好一些

各种服务配置教程 上来就是一句关闭 selinux， 就这 小白用户能安全就见鬼了

@ihipop

我可没说用 apt 绝对安全。

这个问题是个相对比较的问题吧？

Deb 包大部分是从发行版自己维护的仓库下载的，是不是相对更安全？自己安装第三方的包可以拆开看那几个安装前后执行的脚本，是不是比很难了解内部怎么运行的安装程序相对安全？

对不起他们不是一样的。

事实上在使用这两系统的时候，我是完全不会担心什么 apt 给了 root 会不会不安全，Windows 上面从下载开始我就要考虑下载的地方安全不安全了，安装的时候，有些要 UAC 权限才能安装的东西我是会放弃安装的，即使不要 UAC 权限的软件，安装的时候我也要小心看看有没有什么奇怪的勾选项。

我其实也希望 apt 之类包管理工具可以不用 root 权限只安装在当前用户目录，但只是出于方便和区隔不同用户的需要，并不担心安全问题。

开发恶意软件的成本 > 获利

@cnt2ex

查了一下，来源应该是 https://www.cvedetails.com/top-50-products.php?year=2019


1. Debian 有 360 个漏洞，前 20 个里面，只有 9 和 13 是 Debian 的锅，其它都是软件包的漏洞。
Debian 有五万多软件包，每个用户都只会装其中的很小一部分，对于每一个 Debian 用户来说，只会被这里面很少的漏洞影响到。

这里面 Windows 的漏洞都是微软的锅。其中大部分应该属于 Windows 默认安装的组件。

2. 如果用 Debian 的归类方式，Acrobat Reader 那 342 个应该算进 Windows 和 Mac OS X 。

3. 这个漏洞数量有重复的，比如 Acrobat 虽然占了两行，但都是那 342 个。
对 Windows 也是一样，所以不能把数字加进来得到 Windows 的总漏洞数，但大约估算一下我觉得 Windows 的总漏洞会比 Linux 多。


结论是，从这个数据来说，好像是 Linux 的安全性更好一些。

体现在用户的操作安全
Linux 一上来就 chmod 777 、关防火墙、随便找个脚本就给 root 权限跑的，被挂马的也不少

论攻击价值，linux 服务器的攻击价值高太多了，盯上 linux 的病毒可不少。

用 windows 的通常都是不懂电脑的人在用，所以很依赖防病毒软件提供各种傻瓜化和半强制性的方法避免用户作死。

用 Linux 的通常都是懂行的人，只要不是太菜，不会做出开门放狗进来的蠢事，而 Linux 服务器的安全防护通常也不是单机层面的，而是一个平台解决方案，例如网络入口的硬件防火墙+系统安插的监控程序+安全监控服务器，我们通常不叫那玩意为安全软件。

@CRVV windows 自带有极大量的第三方硬件驱动，这些漏洞都会算到微软头上，linux 直接不支持。。。。。。。。。

先问是不是。你对 Windows 了解多少呢？

问个基础的 Linux sudo 在 Windows 上对应是什么命令？
Windows 的 AD，组策略，域控，权限分配，enduser 权限，Defender for Endpoint 有用过么。

很多人学了两天 Linux 就觉得 Linux 高大上 Windows 各种没有，其实 Windows 不知道比 Linux 高到哪去了。

另外 Windows 10 的安全性已经十分强大了，提供内核隔离，Exploit Protection，各种 0day 漏洞的防护

@northisland Windows 的权限控制可比 Linux 权限更详细。

"你不能读，写，就肯定不能读、写。 "这都是基础的功能

对于个人用户来说，整个系统实际上一般只有一个账户在日常使用，有价值的东西都在这个账户的控制之下，所以就变成了 xkcd 1200 里面描述的情况了：root 权限把守的是一个毫无价值的保险库，不需要拿到 root 就已经可以对用户形成实质的威胁和伤害。

更何况，就像 Windows 的 UAC，微软不承认 UAC 绕过（从降权管理员 token 到完整管理员 token ）算安全漏洞，只是一个“防手贱功能”（ forcing function ）； Linux 下，sudo 的性质应该也是类似的吧。

对于企业、服务器，那就另当别论了，我也不太了解。

因为正常情况下服务器上 root 的权限都在运维手上，作为用户是拿不到 root 的。如果能拿到 root 要么是虚拟机要么是 docker 。