我有一個運行 Ubuntu 10.04 LTS 作為作業系統的根伺服器 (i7/24GB/1TB)。經過一些安全審核(OpenVAS、Retina 等)後,我發現 Ubuntu 並不是半企業環境中最安全的系統。它的更新來自許多來源,ofc 也來自 Ubuntu 安全性儲存庫。但儘管如此,我仍然可以利用 8 月/9 月的漏洞來利用我的 OpenSSL 安裝。 Ubuntu 沒有提供一些需要的關鍵更新。我使用 Debian 和 Ubuntu 已經快 5 年了,但現在我對此表示懷疑。從您的角度來看,哪個發行版是安全且最新的?如何讓伺服器更安全?將每個軟體模組外包給虛擬機器?我對伺服器強化並不陌生,我的軟體包是最新的,我閱讀了 Ubuntu 安全聲明,並且我的伺服器上沒有安裝不需要的服務。謝謝。
答案1
所有大牌發行版其實都相當不錯。然而,紅帽直接僱用了最大的安全團隊,並僱用了可能面臨風險的專案最直接的貢獻者。我並不是要貶低敬業的志工和辛勤工作的小型團隊的貢獻,但紅帽在安全方面投入的資源是他們的安全合法化的一部分原因。企業Linux 發行版。
我強烈推薦閱讀Mark Cox 關於 RH 安全性的部落格文章。他是他們的安全回應團隊的負責人,他總結的指標非常有趣。 (如果有人知道其他發行版或任何其他公司的類似內容!我很想知道。)
答案2
Openwall GNU/*/Linux (Owl),用於伺服器和裝置的安全增強型 Linux 發行版。
答案3
答案4
OpenSSL 漏洞是在夏末/初秋發現的,但包含修復程式的版本是什麼時候。
並不是質疑 BSD 的安全性(我碰巧非常尊重它們),但我相信它們使用相同的軟體包 OpenSSL。這意味著他們很容易受到同樣的威脅。
除非您直接從專案的儲存庫進行編譯,否則您永遠不會擁有絕對最新、最好的。這樣做對於桌面來說很好,但對於伺服器來說是個壞消息。
在應用程式更新和出現在系統更新機制中之間的延遲期間,正在進行相容性和回歸測試的對接。這是為了確保更新的版本適用於您的作業系統。如果 OpenSSL 未經測試就被打補丁,而 Canonical 透過 apt 提供它,並且它破壞了您的系統,您很可能會在 Ubuntu 上抱怨,而不是 OpenSSL。
就我個人而言,我建議堅持使用您所知道的生產知識。由有能力的管理員管理的中等安全的作業系統比由不熟悉它的人管理的高度安全的作業系統要好。無論如何,測試並熟悉其他作業系統,並用它嚴格測試您的生產應用程序,但不要倉促跳槽...
(順便說一句,這一切都假設漏洞測試中出現的伺服器已完全修補...)