Distribuição Segura de Servidores

Todas as distros de grande nome são realmente muito boas. No entanto, a Red Hat emprega diretamente a maior equipe de segurança - e emprega os colaboradores mais diretos para os projetos que possam estar em risco. Eu não pretendo de forma alguma minimizar as contribuições de voluntários dedicados e de equipes menores que trabalham duro, mas a dedicação de recursos da Red Hat à segurança é parte do que faz deles legitimamente uma distribuição Linux enterprise .

É altamente recomendável ler as entradas de blog de Mark Cox sobre segurança RH . Ele é o líder de sua equipe de resposta de segurança, e as métricas que ele coloca juntas são muito interessantes. (Se alguém souber de algo comparável de outra distro - ou de qualquer outra empresa! - adoraria saber disso.)

Considere o uso de sistemas BSD como o DragonFlyBSD, o OpenBSD, o NetBSD, o FreeBSD, em vez do Linux. Todos esses sistemas possuem ferramentas para verificar pacotes / portas contra bugs e exploits disponíveis. Ele pode verificar o pacote antes de instalá-lo e também verificar todos os pacotes instalados, por exemplo, diariamente. Veja:

• pacotes de auditoria
• portaudit

Tanto a Canonical quanto a RedHat fornecem serviços extras por uma taxa. Entre eles, atualizações mais rápidas e foco em segurança.

O OpenSSL vuln foi descoberto no final do verão / início do outono, mas quando o release continha a correção.

Não impugnar a segurança dos BSDs (por acaso tenho muito respeito por eles), mas acredito que eles usam o mesmo pacote, o OpenSSL. Isso significa que eles estão vulneráveis à mesma ameaça.

A menos que você esteja compilando diretamente do repositório do projeto, você nunca terá o mais recente e melhor absoluto. Fazer isso é bom para a sua área de trabalho, mas más notícias para um servidor.

Durante esse atraso entre a atualização do aplicativo e a exibição no mecanismo de atualização do seu sistema, uma carga de testes de compatibilidade e regressão está acontecendo. Isso é para garantir que a versão atualizada funcione com o seu sistema operacional. Se o OpenSSL fosse corrigido sem ser testado e a Canonical o disponibilizasse via apt, e ele quebrasse seu sistema, você provavelmente iria reclamar no Ubuntu, não no OpenSSL.

Pessoalmente, recomendo manter o que você sabe para produção. É melhor ter um sistema operacional moderadamente seguro gerenciado por administradores competentes do que um sistema operacional altamente seguro por pessoas não familiarizadas com ele. Por todos os meios, teste e familiarize-se com outros SOs e teste rigorosamente seus aplicativos de produção, mas não pule rapidamente ...

(BTW, tudo isso assume que o servidor que apareceu no teste vuln é totalmente corrigido ...)

Openwall GNU / * / Linux (Owl), uma distribuição Linux com segurança aprimorada para servidores e appliances.

Não tenho certeza sobre o Ubuntu, mas o Debian é bastante seguro. Mantenha os pacotes atualizados, instale / configure o firewall adequado. Não corra serviços suspeitos. Google "endurecimento debian" e você encontrará muitas instruções passo a passo que lhe dará boas idéias.

sobre scanners de vulnerabilidades, use qualquer distro linux / BSD "extra" segura. instale pacotes com apache / ssl / php / ftp / etc e você terá muitos alarmes.

Como meus servidores são verificados trimestralmente, acabo usando ambos debian / redhat e compilando alguns dos pacotes usando as versões sugeridas pelo provedor de varredura.

Também há "Gentoo Endurecido". Algumas pesquisas que li há algum tempo (desculpe, não posso encontrá-lo agora) mencionaram que ele implementa mais tecnologias de segurança em seu núcleo do que o Ubuntu / CentOS / Debian. A lista dessas tecnologias é aqui .