Eu tenho um servidor raiz (i7/24GB/1TB) executando o Ubuntu 10.04 LTS como meu sistema operacional. Após algumas auditorias de segurança (OpenVAS, Retina etc), vejo que o Ubuntu não é o sistema mais seguro para um ambiente semi-corporativo. Ele é atualizado a partir de muitas fontes, inclusive do repositório de segurança do Ubuntu. Mesmo assim, eu poderia explorar minha instalação do OpenSSL com um exploit de agosto/setembro. Existem algumas atualizações críticas necessárias que o Ubuntu não fornece. Eu usei Debian e Ubuntu por quase 5 anos, mas agora duvido. Qual distribuição é segura e atualizada do seu ponto de vista? Como posso tornar o servidor mais seguro? Terceirização de cada módulo de software para uma VM? Não sou novo no fortalecimento de servidores, meus pacotes estão atualizados, li os Avisos de segurança do Ubuntu e não tenho serviços desnecessários instalados em meu servidor. Obrigado.
Responder1
Todas as distros de grandes nomes são realmente muito boas. No entanto, a Red Hat emprega diretamente a maior equipe de segurança — e emprega os colaboradores mais diretos para os projetos que provavelmente estarão em risco. Não pretendo de forma alguma subestimar as contribuições de voluntários dedicados e de equipes menores e trabalhadoras, mas a dedicação de recursos da Red Hat à segurança é parte do que torna o seu trabalho legitimamente umempreendimentoDistribuição Linux.
Eu recomendo fortemente a leituraEntradas do blog de Mark Cox sobre segurança RH. Ele é o líder da equipe de resposta de segurança e as métricas que ele reúne são muito interessantes. (Se alguém souber de algo comparável de outra distro – ou de qualquer outra empresa! – eu adoraria saber.)
Responder2
Openwall GNU/*/Linux (Owl), uma distribuição Linux com segurança aprimorada para servidores e dispositivos.
Responder3
Considere usar sistemas BSD como DragonFlyBSD, OpenBSD, NetBSD, FreeBSD, em vez de Linux. Todos esses sistemas possuem ferramentas para verificar pacotes/portas contra bugs e explorações disponíveis. Ele pode verificar o pacote antes de instalá-lo e também verificar todos os pacotes instalados, ou seja, diariamente. Ver:
Responder4
A vulnerabilidade OpenSSL foi descoberta no final do verão/início do outono, mas quando foi lançado o lançamento contendo a correção.
Não quero impugnar a segurança dos BSDs (eu tenho muito respeito por eles), mas acredito que eles usam o mesmo pacote, OpenSSL. Isso significa que eles estão vulneráveis à mesma ameaça.
A menos que você esteja compilando diretamente do repositório do projeto, você nunca terá o que há de melhor e mais recente. Fazer isso é bom para o seu desktop, mas é uma má notícia para o servidor.
Durante esse atraso entre a atualização do aplicativo e sua aparição no mecanismo de atualização do sistema, uma série de testes de compatibilidade e regressão está acontecendo. Isso é para garantir que a versão atualizada funcione com o seu sistema operacional. Se o OpenSSL fosse corrigido sem ser testado e a Canonical o disponibilizasse via apt, e isso quebrasse seu sistema, você provavelmente reclamaria no Ubuntu, não no OpenSSL.
Pessoalmente, recomendo manter o que você sabe para produção. É melhor ter um sistema operacional moderadamente seguro gerenciado por administradores competentes do que um sistema operacional altamente seguro por pessoas não familiarizadas com ele. Certamente, teste e familiarize-se com outros sistemas operacionais e teste rigorosamente seus aplicativos de produção com eles, mas não abandone o navio precipitadamente...
(Aliás, tudo isso pressupõe que o servidor que apareceu no teste de vulnerabilidade esteja totalmente corrigido...)