Sikreste linux webserver

[Øyst]

Hva regnes som den absolutt sikreste linux distribusjonen til en enkel webserver? Ønsket mitt er minimalt med patching og høyest mulig sikkerhet.

 

Alternativene jeg vurderer er Slackware, Clarkconnect, Fedora core 3, SUSE, Debian stable, Ubuntu. Hvilken disto vil være best?

 

Jeg har satt opp en Slackware server og det er så langt den beste kandidaten etter min vurdering. Er det andre meninger?

[olear]

Etter min mening så har du allerede det beste alternativ.

[olear]

Security Advisories 2005:

 

Merk at alle ikke er relevant når man kjører server.

 

Slackware: 2

OpenBSD: 4

SuSE: 32

Ubuntu: 60

Debian: 84

Gentoo: 124

Endret 12. april 2005 av olear

[objorkum]

Om du har Slack med kun dei nødvendige pakkane og kun dei nødvendige bakgrunnsprosessane (daemons) så vil den nok vere sikker som berre det

Endret 12. april 2005 av objorkum

[Admin'c]

openbsd er bsd men de er sikkerhet sikkerhet sikkerhet og bare sikkerhet

[Øyst]

Jeg har vurdert å prøve OpenBSD. Om OpenBSD regnes som enda sikrere og enklere å vedlikeholde skal jeg prøve denne.

 

Men altså: Slackware er den beste Linux kandidaten. Takker så mye for alle svar så langt!

Endret 12. april 2005 av Øyst

[Gronz]

Har bare gode erfaringer med OpenBSD. Knallsikkert og relativt raskt.

[graiggen]

Jeg har vurdert å prøve OpenBSD. Om OpenBSD regnes som enda sikrere og enklere å vedlikeholde skal jeg prøve denne.

OpenBSD er enklere å vedlikeholde, hvis du kan Unix.

 

Et tips er at hvis du har flere maskiner, installèr OpenBSD på dem og kjør dem som webservere, sammen med CARP. Hvis master (hovedmaskinen) går ned, vil en av slavene overta, og hvis det er flere slaves, vil den med best prestasjon overta som master inntil den gamle master er back-on-track.

[Langbein]

OpenBSD er enklere å vedlikeholde, hvis du kan Unix.

Debian og andre linux-distribusjoner med et skikkelig pakkesystem er etter min mening klart enklere å vedlikeholde enn *BSD.

[graiggen]

OpenBSD er enklere å vedlikeholde, hvis du kan Unix.

Debian og andre linux-distribusjoner med et skikkelig pakkesystem er etter min mening klart enklere å vedlikeholde enn *BSD.

Har ikke *BSD et pakkesystem? Både Free, Net og Open har Ports, Free og Open har forøvrig også pkg_add (med -r-opsjonen kan man hente ned pakker fra nettet) og NetBSD har et stort reprositiar med tredjepartipakker kalt pkgsrc.

 

Men husk at GNU/Linux er kun en avkastning/klone av Unix, ikke en variant/flavor eller distribusjon.

[Langbein]

Har ikke *BSD et pakkesystem? Både Free, Net og Open har Ports, Free og Open har forøvrig også pkg_add (med -r-opsjonen kan man hente ned pakker fra nettet) og NetBSD har et stort reprositiar med tredjepartipakker kalt pkgsrc.

Jeg kjenner til ports og packages ja. Ports er forøvrig et genialt system for kompilering av programmer fra kildekode. Men av programmer jeg selv bruker kompilerer jeg under 1% selv.

 

BSD har mer kompliserte oppdateringsrutiner fordi det er ulike rutiner for base og ports/packages, mens i de fleste linux-distroer oppdaterer man rubbel og bit med én kommando, og det uten å kompilere noe som helst.

 

Etter hva jeg har forstått er de binære pakkene til *BSD-variantene ikke oppdatert til enhver tid slik at man må bruke ports for å få nyeste versjon av alle programmer. Dette i rak motsetning til alle linux distroer jeg bruker hvor alt er tilgjengelig i binær form. Kjapt og enkelt.

 

Kort og godt: liker man å bruke timesvis/dagesvis på å kompilere software - kjør *BSD. Hvis man heller vil gjøre det enkelt kjører man GNU/Linux

Men husk at GNU/Linux er kun en avkastning/klone av Unix, ikke en variant/flavor eller distribusjon.

Dette var et svar på hva?

[graiggen]

Har ikke *BSD et pakkesystem? Både Free, Net og Open har Ports, Free og Open har forøvrig også pkg_add (med -r-opsjonen kan man hente ned pakker fra nettet) og NetBSD har et stort reprositiar med tredjepartipakker kalt pkgsrc.

Jeg kjenner til ports og packages ja. Ports er forøvrig et genialt system for kompilering av programmer fra kildekode. Men av programmer jeg selv bruker kompilerer jeg under 1% selv.

 

BSD har mer kompliserte oppdateringsrutiner fordi det er ulike rutiner for base og ports/packages, mens i de fleste linux-distroer oppdaterer man rubbel og bit med én kommando, og det uten å kompilere noe som helst.

 

Etter hva jeg har forstått er de binære pakkene til *BSD-variantene ikke oppdatert til enhver tid slik at man må bruke ports for å få nyeste versjon av alle programmer. Dette i rak motsetning til alle linux distroer jeg bruker hvor alt er tilgjengelig i binær form. Kjapt og enkelt.

 

Kort og godt: liker man å bruke timesvis/dagesvis på å kompilere software - kjør *BSD. Hvis man heller vil gjøre det enkelt kjører man GNU/Linux

Men husk at GNU/Linux er kun en avkastning/klone av Unix, ikke en variant/flavor eller distribusjon.

Dette var et svar på hva?

Binær-pakkene til pkg_add og pkgsrc er temmelig oppdaterte, men de legger kun til ting når de er testet godt nok. De er synkronisert med Ports, etter alt jeg vet. Selv har jeg faktisk opplevd at Ports ikke er oppdatert med pkg_add !:!

Og å oppdatere Ports er ikke store saker. Hvis det blir for vanskelig, kan du jo så vennlig be meg, eller lage selv (ettersom du er en programmerer), shellscripts som gjør oppdateringsprosessen til en simpel lek. Det har jeg gjort. Kjøres i Cron omlag to ganger i uka.

 

Mitt statuering av at GNU/Linux er en kun en Unix-klone, er et svar på at du sier GNU/Linux er enklere å adminstrere, som igjen var et (indirekte?) svar på min utsagn om at OpenBSD er lettere å adminstrere hvis man kan Unix.

[DJViking]

Trustix var jo i sin tid blant de sikreste Linux distribusjonene. Men om den eksisterer enda er jeg usikker på... www.trustix.no har bare en kostbar Trustix Linux Enterprise OS...

 

Men så har man også www.trustix.org, men hva den har til felles med hva brukte å være Trustix vet jeg ikke

[olear]

trustix.org er vel det som er igjen av Trustix? Ser ut som den er aktiv enda.

[stigfjel]

Siden du allerede har Slackware, et svært godt alternativ til serverbruk med tanke på sikkerhet, skjønner jeg ikke hvorfor du vil bytte.

[Terrasque]

jeg vil tippe gentoo, hvis man bruker hardening pakkene og den secure gcc tingen.

 

Pluss at det enkle faktum at alle binaries er custom compiled trolig vil gjøre det vanskeligere å exploite feil (minneområdene vil trolig være på forskjellige plasser)

[kyrsjo]

jeg vil tippe gentoo, hvis man bruker hardening pakkene og den secure gcc tingen.

 

Pluss at det enkle faktum at alle binaries er custom compiled trolig vil gjøre det vanskeligere å exploite feil (minneområdene vil trolig være på forskjellige plasser)

Execshshield (som du finner som standardinstallert på RH) vil gjøre den jobben ennå bedre - den randomizer minneadresser stadig vekk (er ikke sikker på om det er ved oppstart eller ved prelink-kjøring).

 

Forøvrig er SELinux noe å se på

[drall]

jeg vil tippe gentoo, hvis man bruker hardening pakkene og den secure gcc tingen.

 

Pluss at det enkle faktum at alle binaries er custom compiled trolig vil gjøre det vanskeligere å exploite feil (minneområdene vil trolig være på forskjellige plasser)

Execshshield (som du finner som standardinstallert på RH) vil gjøre den jobben ennå bedre - den randomizer minneadresser stadig vekk (er ikke sikker på om det er ved oppstart eller ved prelink-kjøring).

 

Forøvrig er SELinux noe å se på

Gentoo er så vidt jeg vet tilrettelagt for både exec-shield, PAX og SELinux.

 

edit: Mest fokus på PAX (som mange mener gjør jobben bedre) i forhold til exec-shield, ser det ut til. Mer på http://hardened.gentoo.org.

Endret 13. april 2005 av drall

[Egil.B]

Du kan jo sette apache i chroot

http://www.linux.com/article.pl?sid=04/05/24/1450203

[comicz]

Egil.B er inne på riktig spor når det gjelder sikkerhet: Jail. OpenBSD har dette som default.

Skal det være mest mulig sikkert, kjør OpenBSD med apache jail'et! :-)

OpenBSD er kos.