我有一台运行Ubuntu 10.04 LTS的根服务器(i7 / 24GB / 1TB)作为我的操作系统。 经过一些安全审计(OpenVAS,Retina等)后,我发现Ubuntu并不是半公司环境中最安全的系统。 它从许多来源更新,也从Ubuntu安全回购。 但是,尽pipe如此,我仍然可以从8月/ 9月开始利用我的OpenSSL安装。 Ubuntu不提供一些关键的更新。 我使用Debian和Ubuntu近5年,但现在我怀疑。 什么发行是安全的,从你的angular度来看是最新的? 我怎样才能使服务器更安全? 将每个软件模块外包给虚拟机? 我不是新的服务器硬化,我的软件包是最新的,我读了Ubuntu安全公告,我没有不必要的服务安装在我的服务器上。 谢谢。
所有的大牌发行都是相当不错的。 但是,红帽公司直接雇佣了最大的安全团队,并且对可能面临风险的项目采用了最直接的贡献者。 我并不是要淡化专职志愿者和努力工作的小团队的贡献,但是红帽致力于资源安全是他们合法的企业 Linux发行版的一部分。
我强烈推荐阅读Mark Cox关于RH安全的博客文章 。 他是他们安全响应团队的领导者,他把这些指标放在一起非常有趣。 (如果有人知道任何可与其他发行商或任何其他公司相媲美的东西 – 我很想知道这一点。)
Openwall GNU / * / Linux(Owl),一种用于服务器和设备的安全性增强的Linux发行版。
考虑使用像DragonFlyBSD,OpenBSD,NetBSD,FreeBSD这样的BSD系统,而不是Linux。 所有这些系统都有工具来检查软件包/端口是否存在可用的错误和漏洞。 它可以在安装之前检查包装,也可以检查所有已安装的包装,例如每天。 看到:
Canonical和RedHat都提供额外的服务。 其中包括更新时间更新和安全重点。
OpenSSL vuln是在夏末/初秋发现的,但是何时发布含有修复。
不要去抨击BSD的安全性(我碰巧对它们有很多的尊重),但是我相信它们使用了相同的包,即OpenSSL。 这意味着他们很容易受到同样的威胁。
除非你直接从项目的回购中编译,否则绝对不会有绝对的最新和绝对的。 这样做对你的桌面很好,但是对于服务器来说坏消息。
在应用程序更新和它出现在系统更新机制之间的延迟期间,兼容性和回归testing正在发生。 这是为了确保更新的版本与您的操作系统一起工作。 如果OpenSSL在未经testing的情况下进行修补,而Canonical将通过apt进行修补,并且破坏了您的系统,那么您很可能会在Ubuntu上投诉,而不是在OpenSSL上投诉。
就个人而言,我build议坚持你所知道的生产。 对于不熟悉的操作系统pipe理员来说,最好是由一个有能力的pipe理员来pipe理一个中等安全的操作系统,而不是一个高度安全的操作系统。 通过一切手段,testing和熟悉其他操作系统,并严格testing您的生产应用程序,但不要急于跳槽…
(顺便说一下,这一切都假设在vulntesting中出现的服务器已完全修补…)
不确定Ubuntu,但Debian是相当安全的。 保持包更新,安装/configuration适当的防火墙。 不要跑腥的服务。 谷歌“debian强化”,你会发现很多一步一步的指示,会给你很好的想法。
关于漏洞扫描器,采取任何“额外”安全的Linux / BSD发行。 用apache / ssl / php / ftp / etc安装软件包,你会得到一堆报警。
由于我的服务器每季度扫描一次,我最终使用debian / redhat,并使用扫描提供程序版本build议的自己编译一些软件包。
还有“硬化的Gentoo”。 我前段时间看到的一些研究(抱歉,现在找不到)提到它比Ubuntu / CentOS / Debian实现了更多的核心技术。 这些技术的清单在这里 。