By default, Убунту Сервер is not very secure:
Личный For my own использовал, I have followed guides such схвати http://hardenubuntu.com/ to turn on unattended-upgrades, install fail2ban, и т.д. But now I am running в business in the cloud and don't want to repeat all these steps manually every украл I spin up в new instance. Is there an Ubuntu distro/variant that ты ешь with "production-ready" security and doesn't need to be manually hardened? Solutions using configuration менеджмент tools (Chef, Puppet, Ansible, и т.д.) will also work.
And if there is NOT such в thing, why not?
При поиске этих функций, необходимо использовать Облачное изображение Ubuntu вместо традиционного изображения сервера.
ufw
, можно включить его. Из Ваших комментариев похоже, что Вы хотите автоматизировать свое развертывание с Ansible. Ansible и облако-init являются популярным шаблоном в облаке, существует много руководств по тому, как сделать это, вот тот как запуск:
Вот являются набором примеров конфигурации для облака-init, которое можно использовать для получения пользовательских собственных конфигураций:
Нет такой версии установщика Сервера, ни Настольных установщиков, потому что это было бы вредно для администрирования, чтобы заблокировать что-то 'полностью вниз' на установку.
Насколько я понимаю, это вызвано тем, что хрупкое равновесие "Простоты Установки/Использования" и "Блокирует Все это Вниз", очень тонкий.
Насколько я понимаю...
ufw
автоматически является раздражающим системным администраторам, которые хотят вещи 'работать из поля' и затем хотеть заблокировать вниз правила брандмауэра после , вещи прокладывают себе путь, они хотят (это - БОЛЬШИНСТВО центральных безопасностью администраторов сервера мускулами да). Полагают также, что безопасность является продолжающимся процессом - запускающийся с относительно 'хорошо', установка и затем блокирующий вниз вещи соответственно с Вашими потребностями политики безопасности и таким является лучшим подходом, чем наличие чего-то полностью заблокированного вниз и затем имеющий необходимость 'удалить' ограничения безопасности с течением времени передает.
существует также процесс конфигурации - полагают, что, если мы как системные администраторы должны сломать безопасность на машине только, чтобы настроить его и затем повторно защитить его, он экономит время для движения, противоположное направление - настраивает системы сначала, тогда блокировка он вниз. Это - типичный подход к администрированию/безопасности...
Примечание, что я не член Службы безопасности Ubuntu, но это - наиболее вероятная причина подхода на месте теперь, с помощью определенных примеров здесь.
Автоматические обновления системы защиты не включены
, Автоматические обновления системы защиты обычно не рассматриваются как хорошая практика для продуктивной среды, потому что они могут закончиться в неожиданное время простоя. В продуктивной среде Вы запланировали бы обновления, таким образом, можно уведомить пользователей/клиенты и соглашение с редким сценарием, где обновление повреждает конфигурацию.
'ufw' брандмауэр не включен
В большинстве случаев, необходимо вручную настроить брандмауэр как ufw; не обычно возможно иметь "автоматически" настроенный брандмауэр, который предоставляет значительное преимущество.
преимущество от системного брандмауэра уровня как ufw состоит в том, чтобы ограничить способность процессов жулика или даже известных процессов, для общения с внешним миром. Определение каждого человека которого процессы должны быть в состоянии общаться с внешним миром, будет отличаться. Если бы автоматически настроенный брандмауэр был слишком консервативен, то это создало бы головные боли, когда пользователи устанавливают программное обеспечение и хотят, чтобы то программное обеспечение было в состоянии получить доступ к Интернету.
основанные на ключе логины SSH должны быть явно созданы
, я не могу думать о механизме, где удаленному пользователю (клиент) мог надежно дать закрытый ключ автоматизированный процесс. Кроме того, это должно было бы так или иначе проверить, что клиентская машина получила закрытый ключ перед выключением основанного на пароле входа в систему.
Серверные среды не для из развертывания поля, поскольку они могут варьироваться значительно. Основные настройки, что сервер Ubuntu идет с потребностью, которая будет настроена для различных сред. Так отключая или включая сервисы, брандмауэры и т.д. являются всем предметом к потребности развертывания. UFW и основанные на ключе логины являются одним таким аспектом, который должен быть создан согласно потребностям.