Production-ready, hardened edition of Убунту Сервер?
By default, Убунту Сервер is not very secure:
- Automatic security updates пахал not enabled
- The 'ufw' firewall is not enabled
- SSH key-based logins have to be explicitly created
- and so on...
Личный For my own использовал, I have followed guides such схвати http://hardenubuntu.com/ to turn on unattended-upgrades, install fail2ban, и т.д. But now I am running в business in the cloud and don't want to repeat all these steps manually every украл I spin up в new instance. Is there an Ubuntu distro/variant that ты ешь with "production-ready" security and doesn't need to be manually hardened? Solutions using configuration менеджмент tools (Chef, Puppet, Ansible, и т.д.) will also work.
And if there is NOT such в thing, why not?
4 ответа
При поиске этих функций, необходимо использовать Облачное изображение Ubuntu вместо традиционного изображения сервера.
- Обновления системы защиты включены значением по умолчанию, и новые изображения публикуются каждые несколько недель с насыпанными обновлениями.
- В облачных средах сети обычно ограничиваются из поля, но если Вы хотите использовать
ufw, можно включить его. - облако отображает, только принимают вход в систему через ssh, можно использовать облако-init для создавания/использования безотносительно ключей, а также пользовательских данных, если Вы хотели бы: https://help.ubuntu.com/community/CloudInit
Из Ваших комментариев похоже, что Вы хотите автоматизировать свое развертывание с Ansible. Ansible и облако-init являются популярным шаблоном в облаке, существует много руководств по тому, как сделать это, вот тот как запуск:
Вот являются набором примеров конфигурации для облака-init, которое можно использовать для получения пользовательских собственных конфигураций:
Нет такой версии установщика Сервера, ни Настольных установщиков, потому что это было бы вредно для администрирования, чтобы заблокировать что-то 'полностью вниз' на установку.
Насколько я понимаю, это вызвано тем, что хрупкое равновесие "Простоты Установки/Использования" и "Блокирует Все это Вниз", очень тонкий.
Насколько я понимаю...
- система не включает автоматические обновления автоматически, потому что сделать так могло поставить под угрозу устойчивость.
- Включение
ufwавтоматически является раздражающим системным администраторам, которые хотят вещи 'работать из поля' и затем хотеть заблокировать вниз правила брандмауэра после , вещи прокладывают себе путь, они хотят (это - БОЛЬШИНСТВО центральных безопасностью администраторов сервера мускулами да). - ключи Принуждения, которые будут сгенерированы непосредственно после установки, нет - нет, потому что для установки таких ключей обычно нужна другая система для генерации их сначала. Осуществлять ключевого автора сразу было бы, вероятно блок способность настроить тот тип ключевой аутентификации.
Полагают также, что безопасность является продолжающимся процессом - запускающийся с относительно 'хорошо', установка и затем блокирующий вниз вещи соответственно с Вашими потребностями политики безопасности и таким является лучшим подходом, чем наличие чего-то полностью заблокированного вниз и затем имеющий необходимость 'удалить' ограничения безопасности с течением времени передает.
существует также процесс конфигурации - полагают, что, если мы как системные администраторы должны сломать безопасность на машине только, чтобы настроить его и затем повторно защитить его, он экономит время для движения, противоположное направление - настраивает системы сначала, тогда блокировка он вниз. Это - типичный подход к администрированию/безопасности...
Примечание, что я не член Службы безопасности Ubuntu, но это - наиболее вероятная причина подхода на месте теперь, с помощью определенных примеров здесь.
Автоматические обновления системы защиты не включены
, Автоматические обновления системы защиты обычно не рассматриваются как хорошая практика для продуктивной среды, потому что они могут закончиться в неожиданное время простоя. В продуктивной среде Вы запланировали бы обновления, таким образом, можно уведомить пользователей/клиенты и соглашение с редким сценарием, где обновление повреждает конфигурацию.
'ufw' брандмауэр не включен
В большинстве случаев, необходимо вручную настроить брандмауэр как ufw; не обычно возможно иметь "автоматически" настроенный брандмауэр, который предоставляет значительное преимущество.
преимущество от системного брандмауэра уровня как ufw состоит в том, чтобы ограничить способность процессов жулика или даже известных процессов, для общения с внешним миром. Определение каждого человека которого процессы должны быть в состоянии общаться с внешним миром, будет отличаться. Если бы автоматически настроенный брандмауэр был слишком консервативен, то это создало бы головные боли, когда пользователи устанавливают программное обеспечение и хотят, чтобы то программное обеспечение было в состоянии получить доступ к Интернету.
основанные на ключе логины SSH должны быть явно созданы
, я не могу думать о механизме, где удаленному пользователю (клиент) мог надежно дать закрытый ключ автоматизированный процесс. Кроме того, это должно было бы так или иначе проверить, что клиентская машина получила закрытый ключ перед выключением основанного на пароле входа в систему.
Серверные среды не для из развертывания поля, поскольку они могут варьироваться значительно. Основные настройки, что сервер Ubuntu идет с потребностью, которая будет настроена для различных сред. Так отключая или включая сервисы, брандмауэры и т.д. являются всем предметом к потребности развертывания. UFW и основанные на ключе логины являются одним таким аспектом, который должен быть создан согласно потребностям.