Готовая, закаленная версия Ubuntu Server?
Если вы устанавливаете шрифты в папке .fonts в своем домашнем каталоге, вам может потребоваться запустить fc-cache -rv (not sudo), чтобы кэшировать шрифты в вашем домашнем каталоге.
3 ответа
Нет такой версии установщика сервера или установщиков рабочего стола, потому что было бы вредно для администрирования иметь что-то «полностью заблокированное» при установке.
Как я понимаю, это потому что тонкий баланс «Простота установки / использования» и «Заблокировать все это» очень деликатный.
Как я понимаю ...
Система doesn ' t автоматическое обновление автоматически, так как это может поставить под угрозу стабильность. Включение ufw автоматически раздражает системных администраторов, которые хотят, чтобы все «работало из коробки», а затем нужно блокировать правила брандмауэра после того, как все работает так, как они хотят (это САМЫЕ САЙТЫ, ориентированные на безопасность, серверные администраторы, , Принудительные ключи, которые должны быть сгенерированы сразу после установки, - нет-нет, потому что для настройки таких ключей обычно требуется другая система для их генерации в первую очередь. Для немедленного принудительного использования ключа авторизации блокировка может быть запрещена для идентификации этого типа проверки подлинности ключа.Считайте также, что безопасность - это непрерывный процесс - начиная с относительно «хорошей» настройки, а затем блокируя вещи в соответствии с вашими требованиями политики безопасности, и такой подход лучше, чем что-то полностью заблокированное, а затем чтобы удалить «ограничения безопасности» с течением времени.
Существует также процесс настройки - считайте, что если мы, как системные администраторы, должны разбить систему безопасности на машине, чтобы ее настроить, а затем повторно закрепить , это экономит время, чтобы идти в противоположном направлении - сначала настройте системы, затем заблокируйте их. Это типичный подход к администрированию / безопасности ...
Обратите внимание, что я не являюсь членом группы безопасности Ubuntu, но это наиболее вероятная причина для этого подхода, использующего ваши конкретные примеры Вот.-
1Я просто чувствую, что это относится к одноразовым типам «серверных установок». а не для тех из нас, которые создают динамические облачные системы, где сервер является еще одним «приложением». который создается и уничтожается по мере необходимости. Я просто хочу хороший стартовый образ для запуска моих сценариев инициализации. – William Hilton 7 December 2015 в 04:48
-
2@WilliamHilton Создайте свой собственный образ. Настройте систему на требования, которые у вас есть, а затем используйте это как изображение облака для вашего обеспечения. Я бы NOT предлагал создать закаленное изображение установщика, особенно для облачных приложений, из-за природы этих приложений и систем. Если у вас есть особые потребности, создайте свой собственный образ. Аналогичным образом подорвана практика обеспечения безопасности в организациях. Или используйте Official Cloud Images , а не стандартные изображения установщика. – Thomas Ward♦ 7 December 2015 в 04:49
Автоматические обновления безопасности обычно не рассматриваются как хорошая практика для производственной среды, поскольку они могут привести к неожиданному простою. В рабочей среде вы планируете обновления, чтобы вы могли уведомлять пользователей / клиентов и обрабатывать редкий сценарий, когда обновление прерывает конфигурацию.
Автоматические обновления безопасности не включены
Брандмауэр «ufw» не включен
В большинстве случаев вам необходимо вручную настроить брандмауэр, например ufw; обычно нет возможности иметь «автоматически настроенный» брандмауэр, который обеспечивает значительную выгоду.
Должны быть явно созданы входные данные на основе ключа SSH. Преимущества брандмауэра на системном уровне ufw - ограничить способность мошеннических процессов или даже известных процессов общаться с внешним миром. Каждое определение человека о том, какие процессы должны иметь возможность общаться с внешним миром, будет иным. Если автоматически настроенный брандмауэр был слишком консервативным, это создало бы головные боли, когда пользователи установят программное обеспечение и хотят, чтобы это программное обеспечение было доступно для доступа в Интернет.
-
1Это НЕ дебаты о дефолтах. Это запрос о том, как настроить сервер Ubuntu автоматически. (См. Обсуждение облачного изображения в комментариях выше.) – William Hilton 7 December 2015 в 06:40
-
2Возможно, вы могли бы обновить свой вопрос, чтобы прояснить это. – thomasrutter 7 December 2015 в 06:46
-
3Ваш вопрос, по-видимому, критикует Ubuntu за то, что он не настроил все это по умолчанию, а затем спрашивает, почему нет другого вкуса / производного Ubuntu, который имеет эти значения по умолчанию. В моем ответе не рассматриваются «другие производные». но он обратил внимание на то, почему они не являются дефолтами и почему они не были бы возможны или были бы плохой идеей. Если вы специально не хотели отвечать на вопрос о значениях по умолчанию, я бы подумал, что вы напишете вопрос по-другому. – thomasrutter 7 December 2015 в 06:57
-
4Справедливо. Я просто чувствовал, что все прыгают, чтобы защитить Убунту, а не помогать мне. На самом деле существует несколько механизмов, благодаря которым ключи SSH могут автоматически генерироваться. Digital Ocean делает это через cloud-init. Vagrant делает это, автоматически вступая в систему, создавая новую пару ключей и загружая закрытый ключ, выйдя из системы, войдя в систему с новым закрытым ключом и отключив auth. – William Hilton 7 December 2015 в 07:03
Серверные среды не для развертывания вне коробки, поскольку они могут сильно различаться. Базовые настройки, которые поставляется сервером Ubuntu, должны быть настроены для разных сред. Таким образом, отключение или включение служб, брандмауэров и т. Д. Все зависит от необходимости развертывания. UFW и ключевые логины являются одним из таких аспектов, которые необходимо создать в соответствии с потребностями.