LINUX.ORG.RU
ФорумAdmin

Что сейчас модно на сервера ставить?


0

1

Сервер - стандартный Apache+PHP+MySQL, FTP и Java-поделки.
Что бы такое поставить, чтобы было максимально защищено?
Сначала думал - Hardened Gentoo, но как открыл мануалы по SELinux, PaX, что-то расхотелось. Нужно что-то, что можно было бы быстро развернуть, поставить и забыть (время сейчас ограничено).

В Red Hat (CentOS) защита SELinux, насколько я знаю, из коробки.
Или накатить уже Debian, но там по дефолту вроде всё плохо.
В первую очередь - безопасность.

Что бы такое поставить, чтобы было максимально защищено?

Ханипот. Открытые порты строго на доверенные хосты.

ziemin ★★
()

А у чему вы больше привыкли? На чем быстрее поднимете?

aeX1pu2b
()

Дебиан или цэнтос (если есть опыт и умеете готовить SELinux).
А ещё на сервера сейчас модно ставить nginx вместо apache.

MrClon ★★★★★
()

Если деньги есть - rhel, если нет - debian либо centos

Некоторые хипстеры советуют убунту, но убунта на сервере - немного экстремально для меня.

Главное, удержаться в пределах семейств redhat и debian, т.к. они наиболее распространены и с ними все умеют работать. За арч или генту тебе коллеги спасибо не скажут. Может даже попытаются нанести физические повреждения.

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от router

Если деньги есть - rhel, если нет - debian либо centos

У платной версии редхата есть какие-то особые преимущества, которые и правда стоят этих денег?

sT331h0rs3 ★★★★★
()
Ответ на: комментарий от sT331h0rs3

Особое - сапорт. У меня после цементос возникло легкое отвращение после того, как увидел что пакеты собирают они не всегда руками.

invokercd ★★★★
()

Ставить нужно то, что лучше умеешь готовить. Selinux везде один, отличия будут лишь в количестве софта в репозитории, и пакетном менеджере (а также незначительно в конфигах и прочем).

invokercd ★★★★
()

debian или ubuntu-server

chg ★★★★★
()
Ответ на: комментарий от sT331h0rs3

у шапки платная поддержка. в том и преимущество. будешь получать четкие и ясные инструкции, чем куда тыкать. помогут удаленно настроить. можно мониторить через их сервера.

chg ★★★★★
()

Могу посоветовать прошивку от зюзерутера - opensuse актуальной версии. Тем более что сейчас скоро вроде как новая версия выйдет. http://www.opensuse.org/en/

TowTruck
()
Ответ на: комментарий от sT331h0rs3

Да, когда у тебя непонятно что завалится и начальник будет тебя жарить в подсобке, тогда и вспомнишь что переводить стрелки никогда не поздно.

Обыкновенное скидывание ответственности. Вылетает всегда самый младший сотрудник.

Ах, да, это как настройка бздяхороутеров на ПэКа. Ох они и кровушки попили молодым и только взлетающим. В то время когда правильные потсоны спокойно починяли всякие циськи.

Deleted
()
Последнее исправление: RTP (всего исправлений: 1)

У нас в конторе везде CentOS/RHEL стоит. Система стабильнаяя, кушать не просит, заплатки на различные опасные дыры в софте приходят исправно, к тому же софт довольно старый, то бишь уже относительно оттестирован. Из минусов: жертвуется новизна софта в пользу стабильности, не всех такое устроит.

eliriand ★★
()

но как открыл мануалы по SELinux, PaX, что-то расхотелось

Кто заставляет их ставить? Для обычного апача с похапе и прочим ИМХО такие вещи не нужны.

vurdalak ★★★★★
()

Если максимально безопасно, и при этом не умереть от геморроя - CentOS + SELinux + автоматически ставить апдейты.

Debian стабилен и удобен, сам использую либо его, либо Ubuntu LTS из-за срока поддержки, но SELinux закрывает значительную часть ещё не обнаруженных уязвимостей.

«Быстро развернуть, поставить и забыть» и «максимально защищено» - по сути противоположные требования. Безопасность всегда противоречит юзабилити. Так что выбирай, что важнее.

selivan ★★★
()

То, что лучше всего знаешь.

zunkree
()
Ответ на: комментарий от invokercd

Для стандартных Apache+PHP он там вроде из коробки настроен? И если mode=targeted поставить, он только на программы, для которых настроен, влиять будет?

selivan ★★★
()

Apache+PHP+MySQL

Не модно это нынче, а вот Nginx + python/ruby + mongo модно.

Или накатить уже Debian, но там по дефолту вроде всё плохо.

С чего это?

ggrn ★★★★★
()
Ответ на: комментарий от selivan

В Debian он не установлен по умолчанию даже, а искоробочным конфигам я не очень доверяю. Для апаче и php мне кажется достаточно отрубить шелл эксек и прочие не очень безопасные штуки, и разделить полномочия + от рута ничего не пускать.

invokercd ★★★★
()
Ответ на: комментарий от TheAnonymous

Selinux поддержка есть в ядре. Поставить пакеты думаю не проблема, если нужно.

invokercd ★★★★
()
Ответ на: комментарий от Deleted

сколько там годовой план на 1-2 сокета?
1000$ за сокет. гхм...

иногда лучше жевать, если не знаешь.
12% от стоимости сервера поддержка стоит.

EvgGad_303 ★★★★★
()
Ответ на: комментарий от selivan

SELinux был разработан Агентством национальной безопасности США, и затем его исходные коды были представлены для скачивания.

SELinux закрывает значительную часть ещё не обнаруженных уязвимостей.

В свете не столь отдалённых событий я бы не был особо в этом уверен :)

sT331h0rs3 ★★★★★
()
Ответ на: комментарий от sT331h0rs3

Ты представляешь себе, как работает достаточно большая контора? Правая рука не знает, что творит левая. Причём в государственных организациях, да ещё и ориентированных на безопасность/секретность/..., это проявляется сильнее, чем в коммерческих. Один отдел разработал и открыл ПО, мешающее задачам другого отдела. Да почему бы и нет? SELinux открыт достаточно давно, его исходники с тех пор смотрела и правила куча людей. Даже если в нём есть какая-нибудь уязвимость by design, он только дополняет традиционную модель контроля доступа, то есть хуже по-любому не станет.

selivan ★★★
()
Ответ на: комментарий от EvgGad_303

12% от стоимости сервера поддержка стоит.

Оракл же вроде это поменял. 12% - это для их родных серверов.
А если какой-нибудь proliant x86, то стоимость зависит от количества сокетов, и получается где-то на 20-30% дороже, чем если бы это было Оракловое железо.

bigbit ★★★★★
()
Ответ на: комментарий от selivan

Для стандартных Apache+PHP он там вроде из коробки настроен?

Вот только нужно знать как именно он для них настроен из коробки. Захочешь часть сайта в /opt запилить, или модуль какой самосборный из /opt/megasoft/mod/ прописать ... и всё опаньки. Дай бог тебе сразу догадаться что это SELinux работать не дает

TEX ★★★
()
Ответ на: комментарий от TEX

в audit.log написано про selinux, и вообще это тема простая, её неосиливают лишь самые недалёкие пользователи или вантузятники с дуалбутом.

anonymous
()
Ответ на: комментарий от anonymous

Вот ты и определись - либо таки по любому придется настраивать под себя, либо оно уже якобы настроено.

TEX ★★★
()

Главное, удержаться от установки Ubuntu. За убунту тебе коллеги спасибо не скажут. Может даже попытаются нанести физические повреждения.

ЗЫ: ставь gentoo hardened

zed_0xff
()
Ответ на: комментарий от blackst0ne

если соседний администратор не понимает - это его проблемы. да и такой, который не понимает не может администратором называться - максимум «мальчик жмущий any key»

TOXA ★★
()
Ответ на: комментарий от TOXA


если соседний администратор не понимает - это его проблемы. да и такой, который не понимает не может администратором называться - максимум «мальчик жмущий any key»



Если администратор не понимает, то это не его проблемы, а проблемы команды.

blackst0ne ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.