Par ordre d'importance:
- La gestion des droits dans Linux se fait sur une couche par processus. C'est à dire que chaque programme ne peut faire que ce que le compte utilisateur qui le démarre aurait pu faire. Il ne peut même pas voir d'autres fichiers, et encore moins les modifier.
- La plupart des Linux viennent avec une protection supplémentaire par-dessus. Dans la branche RedHat et Suse, vous obtenez SE Linux - security enhanced. Cela restreint encore plus chaque programme de ne permettre même les composants matériels pour être seulement vu par ce programme, et seulement être en mesure d'écrire à ceux quand il est explicitement donné la permission. Similaire est l'AppArmour sur la branche Debian de Linuxes.
- Un utilisateur sur une machine Linux n'a qu'un accès de niveau utilisateur. Seulement capable d'écrire des fichiers dans leur dossier personnel. Il peut voir d'autres endroits, et peut-être exécuter à partir d'autres endroits, mais jamais les modifier. Les parties sensibles sont même cachées à la vue. Ainsi, aucun programme qu'ils exécutent ne peut faire plus que ce que cet utilisateur particulier aurait pu faire non plus.
- Chaque fichier et répertoire dans Linux a des niveaux d'accès qui lui sont appliqués. Aussi bien ce que le propriétaire/créateur du fichier peut faire que ce que les autres peuvent faire. Il existe 3 subdivisions, donnant chacune 3 droits. Le propriétaire, le groupe auquel appartient le propriétaire et tous les autres. Chacun d'entre eux peut recevoir des privilèges de lecture, d'écriture et d'exécution, indépendamment les uns des autres. Ceux-ci sont automatiquement configurés pour tous les programmes Linux standards - permettant aux utilisateurs normaux d'exécuter des programmes et de lire les fichiers de configuration, tout en interdisant toute modification des fichiers / dossiers qu'ils n'ont pas fait eux-mêmes. Ils cachent également les éléments qu'ils ne devraient pas voir - par exemple, les certificats de cryptage, les dossiers personnels d'autres utilisateurs, etc. Ils ne peuvent même pas voir les dossiers dans lesquels ces choses résident, sans parler de lire les fichiers réels, oublier de les modifier.
- Les tâches administratives sont gérées par l'utilisateur root exclusivement. Certains comptes d'utilisateurs peuvent recevoir des droits d'escalade vers un privilège d'utilisateur root - à travers des choses comme sudo (Super User do). Mais à chacun d'entre eux, ils doivent entrer un mot de passe avant que cela ne se produise. Ainsi, aucune modification de ce type à l'échelle du système n'est possible sans le consentement explicite de l'utilisateur.
- Tout ce qui se trouve dans Linux, et presque tous les additifs au-dessus de Linux, est open source. C'est-à-dire qu'ils sont constamment vérifiés et revérifiés par de multiples programmeurs indépendants. Si une erreur a été faite, elle est très rapidement trouvée. Si quelqu'un a créé une porte dérobée (comme tout un tamis derrière Windows), cela est signalé et le programme est soit mis sur liste noire, soit corrigé rapidement. Dans les logiciels fermés, seule l'entreprise peut le faire, elle n'a généralement pas les ressources ou la motivation pour le faire. Dans le cas de Windows, Microsoft veut en fait ces portes dérobées - lisez leur CLUF pour voir pourquoi (ils veulent un moyen d'entrer dans votre machine donc ils doivent les laisser, ils les font en fait exprès, une fois que quelqu'un les découvre, ils publient un "patch de sécurité" pour fermer cette porte et en ouvrir une autre).
- Linux (par défaut) n'exécute que des programmes spécifiquement conçus pour lui. Aucun fichier EXE ne va s'exécuter lorsque vous le double-cliquez. Il ne peut tout simplement pas le faire. Il existe des moyens de les faire fonctionner, par exemple en utilisant Mono pour exécuter des EXE DotNet et Wine pour exécuter des EXE Windows normaux. Mais il s'agit dans les deux cas d'installations supplémentaires et les deux fonctionnent toujours dans un bac à sable par le biais du niveau utilisateur et des contrôles AppArmour ci-dessus. Ainsi, aucun virus spécifique à Windows n'a la moindre chance de démarrer sur une machine Linux. Le mieux qu'il puisse faire est de gâcher le bac à sable créé autour du paquet Wine qu'il exécute.
- Enfin, bien que ce soit fallacieux au mieux, les auteurs de virus / logiciels malveillants sont moins incités à faire de tels programmes pour Linux. Tout simplement parce qu'il y a moins d'utilisateurs d'ordinateurs de bureau, et ceux qui utilisent Linux ont tendance à être plus avertis en informatique. Ainsi, c'est à la fois plus difficile ainsi qu'une plus petite cible pour ces mauvaises personnes.
Notez que le dernier est fallacieux, car il ne prend pas en compte d'autres endroits où Linux est effectivement le plus répandu. Par exemple, les serveurs web sont à environ 90% basés sur Linux de nos jours - devinez sur quoi tournent les serveurs de Quora. Si un auteur de logiciels malveillants pouvait s'y introduire, il aurait accès à des milliers, voire des millions, d'informations sur des personnes en même temps. Une motivation bien plus grande pour s'attaquer à ces cibles que pour essayer de pénétrer dans les photos de vacances d'un individu. Et pourtant, à chaque fois qu'une telle chose se produit, c'est une nouvelle extrême car cela arrive si peu souvent, et chaque fois dans l'histoire de Linux, c'est aussi dû au fait que les administrateurs du serveur ont fait quelque chose de stupide, pas à cause de Linux. Mais du côté de Windows Server, Oh my ! Quelle fusillade totale à l'ouest sauvage !
Vous avez remarqué le truc de l'open source ci-dessus ? Remarquez que j'ai dit "presque tous les additifs" ? Un exemple de ceci est les téléphones Android. Une partie de la boîte à outils Android installée sur tous les téléphones est une source fermée. Soit de Google, soit du fabricant de ce téléphone. Ce sont les points faibles d'Android. Son noyau (Linux) est en fait tout aussi sûr que n'importe quel Linux. Mais à cause de ces trucs à source fermée, il y a eu quelques incidents, découverts seulement trop tard une fois que le téléphone de quelqu'un a été infecté - personne n'aurait pu vérifier cela avant (à cause de la source fermée).
En fait, comme un autre exemple de combien les choses deviennent plus sûres grâce à l'open source. Les médias avaient tendance à sauter sur les histoires de quelque "vulnérabilité" dans Linux, dans le noyau. Des trucs comme un bug qui permettait à un programme exécuté par un utilisateur de s'élever au rang de super utilisateur sans passer par les contrôles de sécurité. Cela s'est réellement produit. Mais devinez pourquoi les médias ont arrêté ça ? Parce qu'ils ont constaté qu'au moment où ils ont eu l'occasion de le signaler, de l'écrire dans un blog ou un article de presse, la mise à jour avait déjà été mise en œuvre pour corriger ce bogue, des jours, voire des semaines avant qu'ils n'en entendent parler. Et déjà, presque tous les Linux ont été patchés.
Passez ceux-là avec des systèmes à source fermée, et il n'est pas étrange de voir de telles choses être laissées pendant des jours, des semaines, voire des années avant que quelqu'un ne fasse réellement quelque chose à ce sujet. Vous ne voyez plus souvent de telles histoires, non pas parce qu'elles n'arrivent pas, mais parce que les médias ont appris qu'il n'est pas utile de les rapporter. Dans Linux, ils arrivent toujours trop tard, et dans Windows, cela se produit tous les jours ou tous les deux jours - ce ne serait donc pas "sensationnel".
.