安全服务器发行版

安全服务器发行版

我有一台根服务器 (i7/24GB/1TB),运行 Ubuntu 10.04 LTS 作为我的操作系统。经过一些安全审核 (OpenVAS、Retina 等) 后,我发现 Ubuntu 不是半企业环境最安全的系统。它从许多来源更新,当然也来自 Ubuntu 安全存储库。但尽管如此,我还是可以利用 8 月/9 月的漏洞利用我的 OpenSSL 安装。需要一些关键更新,但 Ubuntu 不提供。我使用 Debian 和 Ubuntu 已有近 5 年了,但现在我怀疑了。从您的角度来看,哪个发行版是安全且最新的?我如何使服务器更安全?将每个软件模块外包给虚拟机?我对服务器强化并不陌生,我的软件包是最新的,我阅读了 Ubuntu 安全通知,并且我的服务器上没有安装不需要的服务。谢谢。

答案1

所有知名发行版实际上都相当不错。然而,Red Hat 直接雇佣了最大的安全团队——并且雇佣了最直接的对可能存在风险的项目做出贡献的人。我并不是要贬低敬业的志愿者和辛勤工作的小型团队的贡献,但 Red Hat 对安全的资源投入是他们合法成为安全的一部分。企业Linux 发行版。

我强烈建议阅读Mark Cox 关于 RH 安全性的博客文章。他是他们安全响应团队的负责人,他整理的指标非常有趣。(如果有人知道其他发行版或任何其他公司有类似的产品!——我很想知道。)

答案2

Openwall GNU/*/Linux(Owl)是一种针对服务器和设备的安全增强型 Linux 发行版。

答案3

考虑使用 BSD 系统,如 DragonFlyBSD、OpenBSD、NetBSD、FreeBSD,而不是 Linux。所有这些系统都有工具来检查软件包/端口是否存在错误和漏洞。它可以在安装之前检查软件包,也可以每天检查所有已安装的软件包。参见:

答案4

OpenSSL 漏洞是在夏末/初秋发现的,但修复程序何时发布呢?

并非要质疑 BSD 的安全性(我非常尊重它们),但我相信它们使用相同的软件包 OpenSSL。这意味着它们容易受到相同的威胁。

除非您直接从项目的存储库进行编译,否则您永远无法获得绝对最新和最好的版本。这样做对您的桌面来说没问题,但对服务器来说却是个坏消息。

在应用程序更新和出现在系统更新机制之间的延迟期间,会进行大量的兼容性和回归测试。这是为了确保更新后的版本适用于您的操作系统。如果 OpenSSL 未经测试就被修补,而 Canonical 通过 apt 提供它,并且它破坏了您的系统,您很可能会抱怨 Ubuntu,而不是 OpenSSL。

就我个人而言,我建议坚持使用你所了解的产品。由有能力的管理员管理的中等安全性操作系统比由不熟悉的人管理的高度安全的操作系统要好。无论如何,测试并熟悉其他操作系统,并严格测试你的生产应用程序,但不要草率地放弃……

(顺便说一句,这一切都假设在漏洞测试中出现的服务器已经完全修补了......)

相关内容