A documentação da comunidade do Ubuntu explica as razões reais por que não é recomendado executar uma GUI em um sistema de servidor de produção:
A maioria dos desenvolvedores do Ubuntu Server não recomenda instalar o X em um servidor. Existem vários motivos para não instalar uma GUI.
Alguns motivos para não instalar uma GUI incluem:
- Você terá mais código sujeito a vulnerabilidades de segurança, mais pacotes que precisam ser atualizados e mais tempo de inatividade do servidor.
- Os pacotes X11 e desktop não são suportados para o ciclo de vida completo de 5 anos da versão do servidor LTS.
- O desempenho pode sofrer porque os recursos (memória, espaço no disco rígido, CPU, etc.) serão consumidos pela GUI.
- A melhor prática é instalar apenas o software necessário em um servidor de produção.
- A GUI pode incluir outros serviços de rede inadequados para um servidor.
- Um dos objetivos do Ubuntu Desktop Edition é facilitar o uso do Linux pelos usuários. Ao instalar alguns ambientes de desktop, serviços que você talvez não queira especificamente serão instalados. Para exemplo avahi-daemon , que é usado para ajudar a configurar redes, adiciona outra porta aberta e pode introduzir conflitos DNS indesejados com um domínio .local.
Portanto, para o servidor mais seguro, é melhor não instalar uma GUI.
"ServerGUI" por "Colaboradores da wiki de documentação do Ubuntu", reproduzido aqui conforme permitido pelo CC-BY-SA 3.0 .
Ao contrário do equívoco comum, o X11 é um servidor realmente não tem nada a ver com a razão pela qual a execução de uma GUI em um servidor de produção é considerada não ideal de um perspectiva de segurança. X11 é praticamente nunca configurado por padrão para ser acessível em uma rede, em qualquer sistema operacional. Nenhuma versão do Ubuntu já teve o X11 executando um servidor acessível por rede na configuração padrão. (Para acessar o X11 no Ubuntu via TCP, você deve encaminhá-lo através do SSH ou reconfigurar manualmente o servidor). / p>
Além disso, mesmo se o X11 executasse um servidor acessível pela rede , isso não seria uma razão para não tê-lo instalado em um sistema de servidor de produção. Qualquer pessoa que execute um servidor de produção é presumivelmente capaz de configurá-lo para suas necessidades e de auditá-lo para garantir que serviços indesejáveis não estejam em execução. (Se não puderem, isso representará uma ameaça muito maior à sua segurança do que seria criado com uma GUI instalada.) Mesmo que o X11 tivesse para ter uma porta em escuta uma interface de rede física ( que não é o caso ), a porta pode ser facilmente bloqueada reconfigurando o netfilter
usando iptables
(ou um frontend de nível superior como ufw
) .
Por outro lado, os problemas listados acima não são tão fáceis de serem superados pela reconfiguração.