Tengo un servidor raíz (i7/24GB/1TB) que ejecuta Ubuntu 10.04 LTS como sistema operativo. Después de algunas auditorías de seguridad (OpenVAS, Retina, etc.), veo que Ubuntu no es el sistema más seguro para un entorno semicorporativo. Se actualiza desde muchas fuentes, por supuesto también desde el repositorio de seguridad de Ubuntu. Sin embargo, pude explotar mi instalación de OpenSSL con un exploit de agosto/septiembre. Se necesitan algunas actualizaciones críticas que Ubuntu no proporciona. Estuve usando Debian y Ubuntu durante casi 5 años pero ahora dudo. ¿Qué distro es segura y actualizada desde tu punto de vista? ¿Cómo puedo hacer que el servidor sea más seguro? ¿Subcontratación de cada módulo de software a una máquina virtual? No soy nuevo en el fortalecimiento de servidores, mis paquetes están actualizados, leo los avisos de seguridad de Ubuntu y no tengo servicios innecesarios instalados en mi servidor. Gracias.
Respuesta1
Todas las distribuciones de renombre son bastante buenas. Sin embargo, Red Hat emplea directamente al equipo de seguridad más grande y emplea a los contribuyentes más directos a los proyectos que probablemente estén en riesgo. No pretendo en absoluto restar importancia a las contribuciones de los voluntarios dedicados y de los equipos más pequeños que trabajan arduamente, pero la dedicación de recursos de Red Hat a la seguridad es parte de lo que hace que el suyo sea legítimamente unaempresaDistribución de Linux.
Recomiendo mucho leerEntradas del blog de Mark Cox sobre seguridad de RH. Es el líder de su equipo de respuesta de seguridad y las métricas que reúne son muy interesantes. (Si alguien sabe de algo comparable de otra distribución, ¡o de cualquier otra compañía! Me encantaría saberlo).
Respuesta2
Openwall GNU/*/Linux (Owl), una distribución de Linux con seguridad mejorada para servidores y dispositivos.
Respuesta3
Considere utilizar sistemas BSD como DragonFlyBSD, OpenBSD, NetBSD, FreeBSD, en lugar de Linux. Todos estos sistemas tienen herramientas para verificar paquetes/puertos frente a errores y exploits disponibles. Puede verificar el paquete antes de instalarlo y también verificar todos los paquetes instalados, es decir, diariamente. Ver:
Respuesta4
La vulnerabilidad OpenSSL se descubrió a finales del verano o principios del otoño, pero ¿cuándo se publicó la versión que contiene la solución?
No quiero cuestionar la seguridad de los BSD (les tengo mucho respeto), pero creo que usan el mismo paquete, OpenSSL. Eso significa que son vulnerables a la misma amenaza.
A menos que estés compilando directamente desde el repositorio del proyecto, nunca tendrás lo último y lo mejor. Hacer eso está bien para su escritorio, pero es una mala noticia para un servidor.
Durante ese retraso entre la actualización de la aplicación y su aparición en el mecanismo de actualización de su sistema, se lleva a cabo una gran cantidad de pruebas de compatibilidad y regresión. Esto es para garantizar que la versión actualizada funcione con su sistema operativo. Si OpenSSL fuera parcheado sin haber sido probado y Canonical lo pusiera a disposición a través de apt y dañara su sistema, lo más probable es que se quejaría en Ubuntu, no en OpenSSL.
Personalmente, recomiendo seguir con lo que sabes para la producción. Es mejor tener un sistema operativo moderadamente seguro administrado por administradores competentes que un sistema operativo altamente seguro administrado por personas que no están familiarizadas con él. Por supuesto, pruebe y familiarícese con otros sistemas operativos y pruebe rigurosamente sus aplicaciones de producción con ellos, pero no abandone el barco apresuradamente...
(Por cierto, todo esto supone que el servidor que apareció en la prueba de vulnerabilidad está completamente parcheado...)