私は、OS として Ubuntu 10.04 LTS を実行しているルート サーバー (i7/24GB/1TB) を持っています。いくつかのセキュリティ監査 (OpenVAS、Retina など) の後、Ubuntu は準企業環境にとって最も安全なシステムではないことがわかりました。Ubuntu は多くのソースから更新されており、もちろん Ubuntu セキュリティ リポジトリからも更新されています。しかし、それでも 8 月/9 月のエクスプロイトを使用して OpenSSL インストールを悪用できました。Ubuntu が提供していない重要な更新が必要です。私はほぼ 5 年間 Debian と Ubuntu を使用していましたが、今は疑問に思っています。あなたの観点から見て、どのディストリビューションが安全で最新ですか? サーバーをより安全にするにはどうすればよいですか? すべてのソフトウェア モジュールを VM にアウトソーシングしますか? 私はサーバーの強化に不慣れではなく、パッケージは最新です。Ubuntu セキュリティ通知を読み、サーバーに不要なサービスはインストールしていません。ありがとうございます。
答え1
有名ディストリビューションはどれも実際にはかなり優れています。しかし、Red Hatは最大のセキュリティチームを直接雇用しており、リスクにさらされる可能性のあるプロジェクトに最も直接貢献している人々を雇用しています。献身的なボランティアや勤勉な小規模チームの貢献を軽視するつもりはまったくありませんが、Red Hatのセキュリティへのリソースの献身は、彼らのディストリビューションを正当に優れたものにしている理由の一部です。企業Linux ディストリビューション。
ぜひ読んでみてくださいマーク・コックスのRHセキュリティに関するブログ記事彼はセキュリティ対応チームのリーダーで、彼がまとめた指標は非常に興味深いものです。(他のディストリビューション、または他の会社でこれに匹敵するものを知っている人がいたら、ぜひ知りたいです。)
答え2
Openwall GNU/*/Linux (Owl) は、サーバーおよびアプライアンス向けのセキュリティが強化された Linux ディストリビューションです。
答え3
答え4
OpenSSL の脆弱性は夏の終わりから秋の初めにかけて発見されましたが、修正が含まれたリリースはいつでしたか。
BSD のセキュリティを非難するつもりはありませんが (私は BSD を非常に尊敬しています)、彼らは同じパッケージである OpenSSL を使用していると思います。つまり、同じ脅威に対して脆弱であるということです。
プロジェクトのリポジトリから直接コンパイルしない限り、絶対的に最新のものを手に入れることはできません。デスクトップでは問題ありませんが、サーバーでは良くありません。
アプリのアップデートからシステムの更新メカニズムに表示されるまでの遅延中に、大量の互換性テストと回帰テストが行われます。これは、アップデートされたバージョンが OS で動作することを確認するためです。OpenSSL がテストなしでパッチされ、Canonical が apt 経由で利用できるようにして、システムが壊れた場合、おそらく OpenSSL ではなく Ubuntu に苦情を言うでしょう。
個人的には、本番環境では自分が知っている OS を使用することをお勧めします。高度なセキュリティを備えた OS を、その OS に詳しくない人が管理するよりも、適度にセキュリティが確保された OS を、有能な管理者が管理する方がよいでしょう。ぜひ他の OS をテストして慣れ、本番環境のアプリをその OS で厳密にテストしてください。ただし、性急に乗り換えないでください...
(ちなみに、これはすべて、脆弱性テストで検出されたサーバーが完全にパッチされていることを前提としています...)