내 OS로 Ubuntu 10.04 LTS를 실행하는 루트 서버(i7/24GB/1TB)가 있습니다. 일부 보안 감사(OpenVAS, Retina 등) 후에 Ubuntu가 준기업 환경에서 가장 안전한 시스템이 아니라는 것을 알았습니다. Ubuntu 보안 저장소 등 다양한 소스에서 업데이트되었습니다. 그럼에도 불구하고 8월/9월부터 OpenSSL 설치를 악용할 수 있었습니다. Ubuntu가 제공하지 않는 몇 가지 중요한 업데이트가 필요합니다. 나는 거의 5년 동안 데비안과 우분투를 사용해왔지만 지금은 의심스럽습니다. 귀하의 관점에서 어떤 배포판이 안전하고 최신입니까? 서버를 더욱 안전하게 만들려면 어떻게 해야 합니까? 모든 소프트웨어 모듈을 VM에 아웃소싱하시겠습니까? 저는 서버 강화가 처음이 아니며 패키지가 최신 상태입니다. Ubuntu 보안 공지를 읽었으며 서버에 불필요한 서비스가 설치되어 있지 않습니다. 감사해요.
답변1
모든 유명 배포판은 실제로 꽤 좋습니다. 그러나 Red Hat은 가장 큰 보안 팀을 직접 고용하고 위험에 처할 가능성이 있는 프로젝트에 가장 직접적인 기여자를 고용합니다. 헌신적인 자원봉사자와 열심히 일하는 소규모 팀의 기여를 경시하려는 의도는 전혀 아니지만, 보안에 대한 Red Hat의 리소스 헌신은 보안을 합법적으로 만드는 이유 중 하나입니다.기업리눅스 배포판.
나는 독서를 적극 권장합니다RH 보안에 대한 Mark Cox의 블로그 항목. 그는 보안 대응 팀의 리더이며 그가 종합한 측정 지표는 매우 흥미롭습니다. (다른 배포판이나 다른 회사의 제품과 비슷한 것을 아는 사람이 있다면 알고 싶습니다.)
답변2
Openwall GNU/*/Linux(Owl)는 서버 및 어플라이언스를 위한 보안이 강화된 Linux 배포판입니다.
답변3
답변4
OpenSSL 취약점은 늦여름/초가을에 발견되었지만 수정 사항이 포함된 릴리스는 언제였습니까?
BSD의 보안을 비난하려는 의도는 아니지만(저는 BSD를 매우 존경합니다) BSD가 동일한 패키지인 OpenSSL을 사용한다고 믿습니다. 즉, 동일한 위협에 취약하다는 의미입니다.
프로젝트 저장소에서 직접 컴파일하지 않는 한 절대 최신이자 최고의 것을 얻을 수 없습니다. 그렇게 하는 것은 데스크톱에는 좋지만 서버에는 나쁜 소식입니다.
앱 업데이트와 시스템 업데이트 메커니즘에 나타나는 지연 동안 호환성 및 회귀 테스트가 많이 발생합니다. 이는 업데이트된 버전이 귀하의 OS에서 작동하는지 확인하기 위한 것입니다. OpenSSL을 테스트하지 않고 패치하고 Canonical이 apt를 통해 이를 사용할 수 있도록 하여 시스템이 손상되면 OpenSSL이 아닌 Ubuntu에서 불만을 제기할 가능성이 높습니다.
개인적으로는 프로덕션에 대해 알고 있는 내용을 고수하는 것이 좋습니다. 잘 모르는 사람들이 매우 안전한 OS를 관리하는 것보다 유능한 관리자가 중간 정도의 보안을 유지하는 OS를 관리하는 것이 더 좋습니다. 반드시 다른 OS를 테스트하고 익숙해지고 이를 사용하여 프로덕션 앱을 엄격하게 테스트하세요. 하지만 성급하게 출시하지 마세요...
(그런데, 이 모든 것은 취약점 테스트에 등장한 서버가 완전히 패치되었다고 가정합니다...)