Edição pronta para produção do Ubuntu Server?

Navegue suas respostas
1

Por padrão, o Ubuntu Server não é muito seguro:

  1. Atualizações automáticas de segurança não estão ativadas
  2. O firewall 'ufw' não está ativado
  3. Logins baseados em chave SSH precisam ser explicitamente criados
  4. e assim por diante ...

Para meu uso pessoal, tenho seguido guias como o link para ativar atualizações não assistidas, instalar o fail2ban, etc. Mas agora eu Estou executando uma empresa na nuvem e não quero repetir todas essas etapas manualmente toda vez que eu criar uma nova instância. Existe uma variante / variante do Ubuntu que vem com segurança "pronta para produção" e não precisa ser endurecida manualmente? Soluções que usam ferramentas de gerenciamento de configuração (Chef, Puppet, Ansible, etc) também funcionarão.

E se NÃO houver tal coisa, por que não?

    
por William Hilton 06.12.2015 / 20:44

4 respostas

2

Se você estiver procurando esses recursos, precisará usar a imagem do Ubuntu Cloud em vez da imagem tradicional do servidor.

  1. As atualizações de segurança são ativadas por padrão e novas imagens são publicadas a cada poucas semanas com as atualizações incluídas.
  2. Em ambientes de nuvem, a rede geralmente é restrita para uso imediato, mas se você quiser usar ufw , poderá ativá-la.
  3. As imagens da nuvem aceitam apenas o login via ssh, você pode usar o cloud-init para criar / usar as chaves e os dados do usuário, se desejar:

A partir dos seus comentários, parece que você deseja automatizar sua implantação com o Ansible. Ansible e cloud-init é um padrão popular na nuvem, existem muitos guias sobre como fazer isso, eis um como um começo:

Aqui estão alguns exemplos de configuração para o cloud-init que você pode usar para obter suas próprias configurações personalizadas:

  • link
por Jorge Castro 07.12.2015 / 01:49
1

Não existe tal versão do instalador do Servidor, nem os instaladores do Desktop, porque seria prejudicial para a administração ter algo 'completamente bloqueado' na instalação.

Pelo que entendi, isso ocorre porque o delicado equilíbrio de "Facilidade de configuração / uso" e "Bloquear tudo para baixo" é muito delicado.

Pelo que entendi ...

  • O sistema não ativa as atualizações automáticas automaticamente porque isso pode comprometer a estabilidade.
  • Ativar ufw automaticamente é irritante para os administradores de sistema que querem que as coisas funcionem imediatamente e depois querem bloquear as regras de firewall depois que as coisas funcionarem do jeito que quiserem (essa é a MAIOR administradores de servidores centrados em segurança, por todos).
  • Forçar chaves a serem geradas imediatamente após a instalação é um não-não, porque a configuração de tais chaves geralmente precisa do outro sistema para gerá-las primeiro. Para impor a chave auth imediatamente, provavelmente bloquearia a capacidade de configurar esse tipo de autenticação de chave.

Considere também que a segurança é um processo contínuo - começando com uma configuração relativamente "ok" e bloqueando as coisas de acordo com suas necessidades de política de segurança, e é melhor abordar do que ter algo totalmente bloqueado e depois "remover" restrições de segurança à medida que o tempo avança.

Existe também um processo de configuração - considere que, se nós, sysadmins, precisarmos quebrar a segurança em uma máquina apenas para configurá-la e depois ressegurá-la, economizará tempo para ir na direção oposta - configure os sistemas primeiro, então bloqueia. Esta é a abordagem típica para administração / segurança ...

  

Note que eu não sou um membro da Equipe de Segurança do Ubuntu, mas esta é a razão mais provável para a abordagem em vigor agora, usando seus exemplos específicos aqui.

    
por Thomas Ward 07.12.2015 / 01:39
0
  

Atualizações automáticas de segurança não estão ativadas

Atualizações de segurança automáticas geralmente não são vistas como uma boa prática para um ambiente de produção, pois podem resultar em tempo de inatividade inesperado. Em um ambiente de produção, você programaria atualizações para poder notificar usuários / clientes e lidar com o raro cenário em que uma atualização quebra a configuração.

  

O firewall 'ufw' não está ativado

Na maioria dos casos, você precisa configurar manualmente um firewall como o ufw; Geralmente, não é possível ter um firewall configurado "automaticamente" que forneça benefícios significativos.

O benefício de um firewall de nível de sistema como o ufw é limitar a capacidade de processos maliciosos, ou mesmo processos conhecidos, de se comunicar com o mundo externo. A definição de cada pessoa de quais processos devem ser capazes de se comunicar com o mundo exterior será diferente. Se um firewall configurado automaticamente fosse muito conservador, isso criaria dores de cabeça quando os usuários instalassem software e desejassem que o software pudesse acessar a Internet.

  

Logins baseados em chave SSH precisam ser explicitamente criados

Não consigo pensar em um mecanismo em que o usuário remoto (cliente) possa receber uma chave privada com segurança por meio de um processo automatizado. Além disso, seria necessário verificar de alguma forma que a máquina cliente recebeu a chave privada antes de desativar o login baseado em senha.

    
por thomasrutter 07.12.2015 / 02:08
0

Os ambientes de servidor não são para implantação imediata, pois podem variar muito. As configurações básicas do servidor Ubuntu precisam ser personalizadas para diferentes ambientes. Portanto, desabilitar ou habilitar serviços, firewalls etc. estão sujeitos à necessidade da implantação. Os logins baseados em UFW e Key são um desses aspectos que precisam ser criados conforme as necessidades.

    
por Arup Roy Chowdhury 07.12.2015 / 04:52
dpkg -l | grep linux-image warning e memtest86 apt-get atualizando para o novo pacote [duplicado]