У меня есть корневой сервер (i7/24 ГБ/1 ТБ), на котором в качестве ОС установлена Ubuntu 10.04 LTS. После нескольких проверок безопасности (OpenVAS, Retina и т. д.) я вижу, что Ubuntu — не самая безопасная система для полукорпоративной среды. Она обновляется из многих источников, конечно же, из репозитория безопасности Ubuntu. Но тем не менее я смог использовать свою установку OpenSSL с эксплойтом от августа/сентября. Необходимо установить несколько критических обновлений, которые Ubuntu не предоставляет. Я использовал Debian и Ubuntu почти 5 лет, но теперь сомневаюсь. Какой дистрибутив, по вашему мнению, безопасен и актуален? Как сделать сервер более безопасным? Аутсорсинг каждого программного модуля на виртуальную машину? Я не новичок в усилении защиты сервера, мои пакеты обновлены, я прочитал уведомления о безопасности Ubuntu, и на моем сервере не установлено ненужных служб. Спасибо.
решение1
Все дистрибутивы с громкими именами на самом деле довольно хороши. Однако Red Hat напрямую нанимает самую большую команду по безопасности — и нанимает самых непосредственных участников проектов, которые, скорее всего, будут подвержены риску. Я вовсе не хочу преуменьшать вклад преданных добровольцев и трудолюбивых небольших команд, но выделение ресурсов Red Hat на безопасность — это часть того, что делает их законнопредприятиеДистрибутив Linux.
Я настоятельно рекомендую прочитатьЗаписи в блоге Марка Кокса о безопасности RH. Он возглавляет их группу реагирования на проблемы безопасности, и собранные им показатели очень интересны. (Если кто-то знает что-то похожее из другого дистрибутива — или из любой другой компании! — я был бы рад узнать об этом.)
решение2
Openwall GNU/*/Linux (Owl), дистрибутив Linux с улучшенной безопасностью для серверов и устройств.
решение3
Рассмотрите возможность использования систем BSD, таких как DragonFlyBSD, OpenBSD, NetBSD, FreeBSD, вместо Linux. Все эти системы имеют инструмент для проверки пакетов/портов на наличие доступных ошибок и эксплойтов. Он может проверять пакет перед его установкой, а также проверять все установленные пакеты, т. е. ежедневно. Смотрите:
решение4
Уязвимость OpenSSL была обнаружена в конце лета/начале осени, но когда был выпущен релиз, содержащий исправление?
Не хочу ставить под сомнение безопасность BSD (я к ним отношусь с большим уважением), но я считаю, что они используют один и тот же пакет, OpenSSL. Это означает, что они уязвимы для одной и той же угрозы.
Если вы не компилируете напрямую из репозитория проекта, у вас никогда не будет абсолютного последнего и лучшего. Это нормально для вашего рабочего стола, но плохие новости для сервера.
В течение этой задержки между обновлением приложения и его появлением в механизме обновления вашей системы происходит куча тестов на совместимость и регрессию. Это делается для того, чтобы убедиться, что обновленная версия работает с вашей ОС. Если бы OpenSSL был исправлен без тестирования и Canonical сделал бы его доступным через apt, и это сломало бы вашу систему, вы, скорее всего, пожаловались бы на Ubuntu, а не на OpenSSL.
Лично я рекомендую придерживаться того, что вы знаете для производства. Лучше иметь умеренно безопасную ОС, управляемую компетентными администраторами, чем высокобезопасную ОС, управляемую людьми, с ней незнакомыми. Обязательно протестируйте и ознакомьтесь с другими ОС и тщательно протестируйте свои производственные приложения с ними, но не переходите на новый корабль поспешно...
(Кстати, все это предполагает, что сервер, обнаруженный при тестировании уязвимости, полностью исправлен...)