Ich habe einen Root-Server (i7/24 GB/1 TB), auf dem Ubuntu 10.04 LTS als Betriebssystem läuft. Nach einigen Sicherheitsüberprüfungen (OpenVAS, Retina usw.) sehe ich, dass Ubuntu nicht das sicherste System für eine semi-kommerzielle Umgebung ist. Es wurde aus vielen Quellen aktualisiert, natürlich auch aus dem Ubuntu-Sicherheits-Repo. Trotzdem konnte ich meine OpenSSL-Installation mit einem Exploit von August/September ausnutzen. Es sind einige wichtige Updates erforderlich, die Ubuntu nicht bereitstellt. Ich habe fast 5 Jahre lang Debian und Ubuntu verwendet, aber jetzt habe ich Zweifel. Welche Distribution ist aus Ihrer Sicht sicher und auf dem neuesten Stand? Wie kann ich den Server sicherer machen? Durch Auslagerung aller Softwaremodule auf eine VM? Ich bin kein Neuling in Sachen Server-Hardening, meine Pakete sind auf dem neuesten Stand, ich habe die Ubuntu-Sicherheitshinweise gelesen und keine nicht benötigten Dienste auf meinem Server installiert. Danke.
Antwort1
Alle großen Distributionen sind eigentlich ziemlich gut. Allerdings beschäftigt Red Hat direkt das größte Sicherheitsteam – und beschäftigt die meisten direkten Mitarbeiter an den Projekten, die wahrscheinlich gefährdet sind. Ich möchte die Beiträge engagierter Freiwilliger und hart arbeitender kleinerer Teams keineswegs herunterspielen, aber Red Hats Einsatz von Ressourcen für die Sicherheit ist Teil dessen, was ihre Distribution zu einem legitimenUnternehmenLinux-Distribution.
Ich empfehle dringend zu lesenBlogeinträge von Mark Cox zur RH-Sicherheit. Er ist der Leiter des Sicherheitsreaktionsteams und die von ihm erstellten Kennzahlen sind sehr interessant. (Wenn irgendjemand etwas Vergleichbares von einer anderen Distribution – oder einem anderen Unternehmen! – kennt, würde ich es gerne erfahren.)
Antwort2
Openwall GNU/*/Linux (Owl), eine Linux-Distribution mit verbesserter Sicherheit für Server und Appliances.
Antwort3
Erwägen Sie die Verwendung von BSD-Systemen wie DragonFlyBSD, OpenBSD, NetBSD, FreeBSD anstelle von Linux. Alle diese Systeme verfügen über Tools zum Überprüfen von Paketen/Ports auf vorhandene Fehler und Exploits. Es kann Pakete vor der Installation überprüfen und auch alle installierten Pakete täglich prüfen. Siehe:
Antwort4
Die OpenSSL-Sicherheitslücke wurde im Spätsommer/Frühherbst entdeckt, aber wann erschien die Version mit dem Fix?
Ich möchte die Sicherheit der BSDs nicht in Frage stellen (ich habe großen Respekt vor ihnen), aber ich glaube, dass sie dasselbe Paket verwenden, nämlich OpenSSL. Das bedeutet, dass sie für dieselbe Bedrohung anfällig sind.
Wenn Sie nicht direkt aus dem Repo des Projekts kompilieren, werden Sie nie die absolut neueste und beste Version haben. Das ist für Ihren Desktop in Ordnung, für einen Server jedoch keine gute Nachricht.
Während dieser Verzögerung zwischen dem App-Update und seinem Erscheinen im Update-Mechanismus Ihres Systems werden jede Menge Kompatibilitäts- und Regressionstests durchgeführt. Damit soll sichergestellt werden, dass die aktualisierte Version mit Ihrem Betriebssystem funktioniert. Wenn OpenSSL ohne Tests gepatcht würde und Canonical es über apt verfügbar machen würde und Ihr System dadurch kaputt ginge, würden Sie sich höchstwahrscheinlich bei Ubuntu beschweren, nicht bei OpenSSL.
Persönlich empfehle ich, bei der Produktion bei dem zu bleiben, was Sie kennen. Es ist besser, ein mäßig sicheres Betriebssystem von kompetenten Administratoren verwalten zu lassen, als ein hochsicheres Betriebssystem von Leuten, die damit nicht vertraut sind. Testen Sie auf jeden Fall andere Betriebssysteme, machen Sie sich mit ihnen vertraut und testen Sie Ihre Produktions-Apps gründlich damit, aber wechseln Sie nicht vorschnell das Schiff ...
(Übrigens wird hier davon ausgegangen, dass der Server, der beim Schwachstellentest angezeigt wurde, vollständig gepatcht ist …)