Distribuição Segura de Servidores

1

Eu tenho um servidor-raiz (i7 / 24GB / 1TB) rodando o Ubuntu 10.04 LTS como meu sistema operacional. Depois de algumas auditorias de segurança (OpenVAS, Retina etc), vejo que o Ubuntu não é o sistema mais seguro para um ambiente semi-corporativo. É atualizado a partir de muitas fontes, ofc do repositório de segurança do Ubuntu também. Mas mesmo assim eu pude explorar minha instalação do OpenSSL com um exploit de agosto / setembro. Existem algumas atualizações críticas necessárias que o Ubuntu não fornece. Eu estava usando Debian e Ubuntu por quase 5 anos, mas agora duvido. Qual distro é segura e atualizada do seu ponto de vista? Como posso tornar o servidor mais seguro? Terceirização de cada módulo de software para uma VM? Eu não sou novo em servidor, meus pacotes estão atualizados e eu não tenho nenhum serviço desnecessário instalado no meu servidor. Obrigado.

    
por Drama 26.12.2010 / 11:50

7 respostas

2

Todas as distros de grande nome são realmente muito boas. No entanto, a Red Hat emprega diretamente a maior equipe de segurança - e emprega os colaboradores mais diretos para os projetos que possam estar em risco. Eu não pretendo de forma alguma minimizar as contribuições de voluntários dedicados e de equipes menores que trabalham duro, mas a dedicação de recursos da Red Hat à segurança é parte do que faz deles legitimamente uma distribuição Linux enterprise .

É altamente recomendável ler as entradas de blog de Mark Cox sobre segurança RH . Ele é o líder de sua equipe de resposta de segurança, e as métricas que ele coloca juntas são muito interessantes. (Se alguém souber de algo comparável de outra distro - ou de qualquer outra empresa! - adoraria saber disso.)

    
por 26.12.2010 / 15:43
1

Considere o uso de sistemas BSD como o DragonFlyBSD, o OpenBSD, o NetBSD, o FreeBSD, em vez do Linux. Todos esses sistemas possuem ferramentas para verificar pacotes / portas contra bugs e exploits disponíveis. Ele pode verificar o pacote antes de instalá-lo e também verificar todos os pacotes instalados, por exemplo, diariamente. Veja:

por 26.12.2010 / 13:09
1

Tanto a Canonical quanto a RedHat fornecem serviços extras por uma taxa. Entre eles, atualizações mais rápidas e foco em segurança.

    
por 26.12.2010 / 14:23
1

O OpenSSL vuln foi descoberto no final do verão / início do outono, mas quando o release continha a correção.

Não impugnar a segurança dos BSDs (por acaso tenho muito respeito por eles), mas acredito que eles usam o mesmo pacote, o OpenSSL. Isso significa que eles estão vulneráveis à mesma ameaça.

A menos que você esteja compilando diretamente do repositório do projeto, você nunca terá o mais recente e melhor absoluto. Fazer isso é bom para a sua área de trabalho, mas más notícias para um servidor.

Durante esse atraso entre a atualização do aplicativo e a exibição no mecanismo de atualização do seu sistema, uma carga de testes de compatibilidade e regressão está acontecendo. Isso é para garantir que a versão atualizada funcione com o seu sistema operacional. Se o OpenSSL fosse corrigido sem ser testado e a Canonical o disponibilizasse via apt, e ele quebrasse seu sistema, você provavelmente iria reclamar no Ubuntu, não no OpenSSL.

Pessoalmente, recomendo manter o que você sabe para produção. É melhor ter um sistema operacional moderadamente seguro gerenciado por administradores competentes do que um sistema operacional altamente seguro por pessoas não familiarizadas com ele. Por todos os meios, teste e familiarize-se com outros SOs e teste rigorosamente seus aplicativos de produção, mas não pule rapidamente ...

(BTW, tudo isso assume que o servidor que apareceu no teste vuln é totalmente corrigido ...)

    
por 26.12.2010 / 15:12
1

Openwall GNU / * / Linux (Owl), uma distribuição Linux com segurança aprimorada para servidores e appliances.

    
por 26.12.2010 / 12:01
0

Não tenho certeza sobre o Ubuntu, mas o Debian é bastante seguro. Mantenha os pacotes atualizados, instale / configure o firewall adequado. Não corra serviços suspeitos. Google "endurecimento debian" e você encontrará muitas instruções passo a passo que lhe dará boas idéias.

sobre scanners de vulnerabilidades, use qualquer distro linux / BSD "extra" segura. instale pacotes com apache / ssl / php / ftp / etc e você terá muitos alarmes.

Como meus servidores são verificados trimestralmente, acabo usando ambos debian / redhat e compilando alguns dos pacotes usando as versões sugeridas pelo provedor de varredura.

    
por 27.12.2010 / 05:37
0

Também há "Gentoo Endurecido". Algumas pesquisas que li há algum tempo (desculpe, não posso encontrá-lo agora) mencionaram que ele implementa mais tecnologias de segurança em seu núcleo do que o Ubuntu / CentOS / Debian. A lista dessas tecnologias é aqui .

    
por 27.12.2010 / 09:52