У меня есть корневой сервер (i7 / 24 ГБ / 1 ТБ) под управлением Ubuntu 10.04 LTS в качестве моей ОС. После некоторых аудитов безопасности (OpenVAS, Retina и т. Д.) Я вижу, что Ubuntu не самая безопасная система для полу-корпоративной среды. Он обновляется из многих источников, в том числе из репозитория безопасности Ubuntu. Но, тем не менее, я мог использовать свою установку OpenSSL с помощью эксплойта с августа / сентября. Требуются некоторые критические обновления, которые Ubuntu не предоставляет. Я использовал Debian и Ubuntu почти 5 лет, но теперь сомневаюсь. Какой дистрибутив является безопасным и актуальным с вашей точки зрения? Как я могу сделать сервер более безопасным? Аутсорсинг каждого программного модуля на ВМ? Я не новичок в усилении защиты серверов, мои пакеты обновлены. Я прочитал уведомления о безопасности Ubuntu, и на моем сервере не установлены ненужные службы. Спасибо.
Все известные дистрибутивы на самом деле довольно хороши. Однако Red Hat напрямую нанимает самую большую команду безопасности - и нанимает самых непосредственных участников проектов, которые могут оказаться под угрозой. Я вовсе не хочу преуменьшать вклад преданных делу добровольцев и трудолюбивых небольших команд, но выделение ресурсов Red Hat на обеспечение безопасности является частью того, что делает их законным предприятие Дистрибутив Linux.
Я очень рекомендую прочитать Записи в блоге Марка Кокса о безопасности RH. Он возглавляет их группу реагирования на вопросы безопасности, и показатели, которые он собирает, очень интересны. (Если кто-то знает что-нибудь подобное из другого дистрибутива - или от любой другой компании! - я хотел бы знать об этом.)
Рассмотрите возможность использования систем BSD, таких как DragonFlyBSD, OpenBSD, NetBSD, FreeBSD, вместо Linux. Все эти системы имеют инструмент для проверки пакетов / портов на наличие ошибок и эксплойтов. Он может проверять пакет перед его установкой, а также проверять все установленные пакеты, то есть ежедневно. Видеть:
Openwall GNU / * / Linux (Owl), дистрибутив Linux с повышенной безопасностью для серверов и устройств.
И Canonical, и RedHat предоставляют дополнительные услуги за определенную плату. Среди них - более своевременные обновления и упор на безопасность.
Уязвимость OpenSSL была обнаружена в конце лета / начале осени, но когда был выпущен выпуск, содержащий исправление.
Не ставить под сомнение безопасность BSD (я их очень уважаю), но я считаю, что они используют один и тот же пакет, OpenSSL. Это означает, что они уязвимы для одной и той же угрозы.
Если вы не компилируете непосредственно из репозитория проекта, у вас никогда не будет абсолютного последнего и лучшего. Это нормально для вашего компьютера, но плохие новости для сервера.
Во время этой задержки между обновлением приложения и его появлением в механизме обновления вашей системы происходит контрольная нагрузка на совместимость и регрессионное тестирование. Это необходимо для того, чтобы обновленная версия работала с вашей ОС. Если бы OpenSSL был исправлен без тестирования, а Canonical сделала бы его доступным через apt, и это сломало бы вашу систему, вы, скорее всего, пожаловались бы на Ubuntu, а не на OpenSSL.
Лично я рекомендую при производстве использовать то, что вы знаете. Лучше иметь умеренно защищенную ОС, управляемую компетентными администраторами, чем высокозащищенную ОС для людей, незнакомых с ней. Во что бы то ни стало, тестируйте и знакомьтесь с другими ОС и тщательно тестируйте свои производственные приложения с их помощью, но не спешите с корабля ...
(Кстати, все это предполагает, что сервер, который появился на тесте vuln, полностью исправлен ...)
Не уверен насчет Ubuntu, но Debian довольно безопасен. Обновляйте пакеты, устанавливайте / настраивайте соответствующий брандмауэр. не запускайте подозрительные сервисы. Погуглите "debian harpting", и вы найдете множество пошаговых инструкций, которые дадут вам хорошие идеи.
Что касается сканеров уязвимостей, возьмите любой "дополнительный" безопасный дистрибутив linux / BSD. установите пакеты с помощью apache / ssl / php / ftp / etc, и вы получите кучу сигналов тревоги.
Поскольку мои серверы сканируются ежеквартально, я в конечном итоге использую как debian / redhat, так и компилирую некоторые пакеты самостоятельно, используя предложенные при сканировании версии поставщиков.
Также есть "Hardened Gentoo". В некоторых исследованиях, которые я прочитал некоторое время назад (извините, не могу найти сейчас), упоминалось, что в его ядре реализовано больше технологий безопасности, чем в Ubuntu / CentOS / Debian. Список этих технологий Вот.