เปรียบเทียบคุณสมบัติ ข้อดีข้อเสียในมุมความปลอดภัยของระบบเซิร์ฟเวอร์บนอินเทอร์เน็ต ระหว่าง FreeBSD และ CentOS

1. เปรรียบเทรียบคคุณสมบบัตติ ขข้อดรีขข้อเสรียในมคุมความปลอดภบัยของระบบเซติร ร์ฟเวอร ร์FreeBSD และ CentOS
@author Kamthorn Krairaksa (https://plus.google.com/+KamthornKrairaksa)
© 2015 CC BY-NC-SA
คคุณสมบบัตต FreeBSD 9 CentOS 6
End Of Life, กกกำหนด
สตสนสคุดกกำรสนบับสนคุน
รคุรุ่น 9.1 ถถึง December 31, 2014
สกำมกำรถอบัพเกรดไปรคุรุ่น 9.2, 9.3 ไดด้ใน
อนกำคต เพพพื่อตรุ่ออกำยคุกกำรอบัพเกรดไปออีก 2
ปอี นบับจกำกวบันออกรคุรุ่นยรุ่อยนบัสนๆ
November 30, 2020 (7 ปอี นบับ
จกำกปบัจจคุบบัน)
วตธอีกกำรอบัพเกรด OS # freebsd-update fetch
# freebsd-update install
# yum upgrade
วตธอีกกำรอบัพเกรด
software package
FreeBSD บรตหกำรจบัดกกำรแพกเกจผรุ่กำน
ระบบ ports โดยสกำมกำรถจบัดกกำรไดด้ดบังนอีส
ตตดตบัสง ports collection (ทกกำครบัสง
เดอียว)
# portsnap fetch
# portsnap extract
update ports collection
# portsnap fetch
# portsnap update
upgrade software
# portmaster -L
# portmaster -a
# yum upgrade
ใน CentOS ไมรุ่แยกระหวรุ่กำง
system กบับ software
package คพอตบัว system เองกก
ถถูกจบัดกกำรผรุ่กำนระบบ package
management ดด้วย
วตธอีกกำรบรตหกำรจบัดกกำร
ซอฟต ต์แวร ต์
ใชด้ระบบ ports collection คพอเปกน
โครงสรด้กำง directory ทอีพื่เกกบไฟล ต์
อธตบกำยวตธอีกกำรดกำวนต์โหลดซอร ต์ส คอม
ไพล ต์ตตดตบัสง ซถึพื่งเกกบไวด้ใน
/usr/ports
จคุดเดรุ่น
- สกำมกำรถคอนฟตกกกำรคอมไพล ต์เองไดด้วรุ่กำ
จะใหด้รองรบับอะไรบด้กำง
- optimize กกำรคอมไพล ต์ซอฟต ต์แวร ต์ไดด้
เตกมทอีพื่
- ออกแพตช ต์ไดด้เรกวกวรุ่กำ ไมรุ่ตด้องรอคอม
ไพล ต์และทดสอบ
ใชด้ระบบ binary package
management คพอซอฟต ต์แวร ต์
ตรุ่กำงๆ คอมไพล ต์ไวด้ลรุ่วงหนด้กำแลด้ว
และสกำมกำรถดกำวนต์โหลด ตตดตบัสงไดด้
ทบันทอี
จคุดเดรุ่น
- ตตดตบัสงไดด้รวดเรกวเพรกำะคอมไพล ต์
มกำลรุ่วงหนด้กำแลด้ว
- binary ทอีพื่คอมไพล ต์แลด้วของทคุก
เครพพื่องจะเหมพอนกบันหมด มอีควกำมคง
เสด้นคงวกำในกกำรใชด้งกำนมกำกกวรุ่กำ
- package dependency จะไดด้
รบับกกำรทดสอบกรุ่อนเผยแพรรุ่ใหด้ใชด้

2. จคุดดด้อย
- ใชด้เวลกำตตดตบัสงนกำนเพรกำะตด้องรอคอม
ไพล ต์
- แตรุ่ละเครพพื่องอกำจจะไดด้รบับซอฟต ต์แวร ต์ทอีพื่มอี
ควกำมแตกตรุ่กำงกบันแลด้วแตรุ่กกำรปรบับแตรุ่ง
- มอีโอกกำสทอีพื่ ports dependency จะ
เสอียหกำย ทกกำใหด้อกำจจะตด้อง recompile
software บกำงตบัวใหมรุ่เพพพื่อแกด้ปบัญหกำ
- มอีโอกกำสทอีพื่กกำรอบัพเกรดซอฟต ต์แวร ต์จะ
ทกกำใหด้ระบบงกำนทกกำงกำนไมรุ่เหมพอนเดตม
เนพพื่องจกำกปบัญหกำกกำรเปลอีพื่ยนรคุรุ่น
งกำน ดบังนบัสนจะไมรุ่มอีโอกกำสเสอียหกำย
- รคุรุ่นของซอฟต ต์แวร ต์จะไมรุ่
เปลอีพื่ยนแปลง เพพพื่อไมรุ่ใหด้มอีผลกระ
ทบตรุ่อระบบงกำนทอีพื่อกำจจะอรุ่อนไหว
ตรุ่อรคุรุ่นของซอฟต ต์แวร ต์
จคุดดด้อย
- ไมรุ่ optimize กบับเครพพื่อง อกำจ
ทกกำใหด้ใชด้งกำนเครพพื่องไดด้ไมรุ่เตกม
ประสตทธตภกำพ
- เลพอกคอมไพล ต์ไมรุ่ไดด้ ทคุกเครพพื่องจะ
ไดด้ binary ทอีพื่เหมพอนกบันหมด
- กกำรออกอบัพเดตจะชด้กำกวรุ่กำ
เนพพื่องจกำกตด้องรอคอมไพล ต์และ
ทดสอบ
กกำรตอบสนองตรุ่อปบัญหกำ
ควกำมปลอดภบัย
สถูง
ผรุ่กำนทกำงกลคุรุ่ม FreeBSD Security ซถึพื่ง
เปกนอกำสกำสมบัครทอีพื่ active มกำก
http://www.freebsd.org/security
/
สถูง
Centos อกำศบัย patch update
จกำก Red Hat Enterprise ซถึพื่งใหด้
ควกำมสกกำคบัญกบับ security patch
update มกำก
secure remote
login
ssh ssh
เทคนตคกกำรเพตพื่มควกำม
ปลอดภบัยใหด้สถูงขถึสน
มอีอธตบกำยไวด้ใน
http://www.freebsd.org/doc/en_
US.ISO8859-
1/books/handbook/securing-
freebsd.html
มอีอธตบกำยไวด้ใน
http://wiki.centos.org/HowT
os/OS_Protection
CentOS ไดด้เปรอียบในเรพพื่อง End of Life ทอีพื่ยกำวนกำนกวรุ่กำ คพอ 10 ปอี นบับจกำกวบันทอีพื่ออกรคุรุ่น โดยปบัจจคุบบัน รคุรุ่น 6
จะถถูกสนบับสนคุน ไปถถึงปลกำยปอี 2020 คพอออีก 7 ปอี โดยในระหวรุ่กำงนอีสสกำมกำรถอบัพเกรดดด้วยขบัสนตอนปกตตไดด้เลย
โดยไมรุ่ยคุรุ่งยกำก และไมรุ่มอีควกำมเสอีพื่ยงใดๆ
สรุ่วน FreeBSD ระยะเวลกำสนบับสนคุนจะรองรบับ 2 ปอีนบับจกำกวบันออกรคุรุ่นยรุ่อย ซถึพื่งในทกำงปฏตบบัตตสกำมกำรถอบัพเกรด
รคุรุ่นยรุ่อยไดด้ เชรุ่นจกำก 9.1 ไปเปกน 9.2 ในอนกำคตเพพพื่อขยกำยระยะเวลกำสนบับสนคุน แตรุ่จะมอีขบัสนตอนทอีพื่ยคุรุ่งยกำกกวรุ่กำ
บด้กำง และอกำจจะมอีควกำมเสอีพื่ยงทอีพื่ระบบมอีสรุ่วนทอีพื่เปลอีพื่ยนแปลงแลด้วเกตดควกำมไมรุ่เขด้กำกบันของระบบ
กกำรบรตหกำรจบัดกกำรกกำรตตดตบัสงและอบัพเกรดระบบ รวมถถึงซอฟต ต์แวร ต์ใน CentOS จบัดกกำรผรุ่กำนระบบจบัดกกำรแพ
กเกจตบัวเดอียวกบัน คพอทบัสงระบบปฏตบบัตตกกำรเอง และซอฟต ต์แวร ต์ทอีพื่ตตดตบัสง ถถูกจบัดกกำรผรุ่กำนระบบบรตหกำรจบัดกกำรแพก

3. เกจทอีพื่เรอียกวรุ่กำ RPM และมอีเครพพื่องมพอหลบักในกกำรจบัดกกำรคพอ YUM ซถึพื่งแพกเกจทอีพื่ตตดตบัสงจะเปกน binary
package ทอีพื่คอมไพล ต์ไวด้พรด้อมใชด้ทบันทอี กกำรใชด้งกำนกกจกกำเพอียงคกกำสบัพื่งเดอียวคพอ yum upgrade ทกกำใหด้สกำมกำรถ
อบัพเกรดไดด้สะดวก และงรุ่กำย
สรุ่วนของ FreeBSD จะแยกกกำรอบัพเกรดออกเปกน OS กบับ software โดยตบัว OS จะจบัดกกำรตรุ่กำงหกำก และ
อด้กำงอตงกบับรคุรุ่นของ FreeBSD เชรุ่นปบัจจคุบบันคพอ FreeBSD 9.1 โดยซอฟต ต์แวร ต์พพสนฐกำนสรุ่วนหนถึพื่ง จะถถูกตตดตบัสง
และอบัพเกรดผรุ่กำนทกำงกกำรอบัพเกรด OS และแยกซอฟต ต์แวร ต์เพตพื่มเตตมไปอยถูรุ่ในระบบจบัดกกำรซอฟต ต์แวร ต์ทอีพื่เรอียก
วรุ่กำ ports collection ซถึพื่งไมรุ่ขถึสนอยถูรุ่กบับรคุรุ่นของ OS
กกำรอบัพเกรด OS และ software ของ FreeBSD จถึงมอีควกำมยคุรุ่งยกำกตกำมตกำรกำงดด้กำนบน จถึงอกำจจะเปกนเหตคุใหด้
ระบบไมรุ่ไดด้รบับกกำรปรบับปรคุงอยรุ่กำงสมกพื่กำเสมอพอ ออีกทบัสงยบังมอีโอกกำสทอีพื่ระบบ ports จะเสอียหกำย (ports
broken) ซถึพื่งทกกำใหด้อกำจจะตด้อง recompile ซอฟต ต์แวร ต์ตรุ่กำงๆ ใหมรุ่เพพพื่อแกด้ปบัญหกำ (ถถึงกบับตด้องมอีบทหนถึพื่งในคถูรุ่มพอ
ทอีพื่แนะนกกำวตธอีแกด้ปบัญหกำนอีสโดยเฉพกำะ http://www.freebsd.org/doc/handbook/ports-broken.html)
ในขณะทอีพื่ระบบจบัดกกำรแพกเกจของ CentOS จะไมรุ่เกตดปบัญหกำดบังกลรุ่กำวขถึสน (เวด้นแตรุ่ไปเพตพื่ม repository
ของซอฟต ต์แวร ต์ทอีพื่มอีกกำรตรวจสอบทอีพื่ไมรุ่ดอีเขด้กำมกำ, หรพอเกตดเมพพื่ออบัพเกรดใหญรุ่ เชรุ่นจกำกรคุรุ่น 6.x ไปเปกน 7.0)
ขข้อเสนอแนะ
1. ตตดตบัสงระบบ CentOS 6.4
2. ทกกำ system hardening เพพพื่อเพตพื่มควกำมแขกงแกรรุ่งของระบบ เชรุ่น
- ปตดบบังกกำรเปตดเผยตรุ่อสกำธกำรณะวรุ่กำใชด้ OS อะไร รคุรุ่นอะไร ซอฟต ต์แวร ต์อะไร โดยปตดทอีพื่ระบบเซตร ต์ฟเวอร ต์เชรุ่น
Apache
- ปตดกกำรบรตกกำรทอีพื่ไมรุ่เกอีพื่ยวขด้องทอีพื่ระบบอกำจจะตตดตบัสงไวด้โดยอบัตโนมบัตต
- ปตดกกำรลกอกอตนดด้วยรหบัสผรุ่กำน บน ssh ทอีพื่เสอีพื่ยงตรุ่อกกำรโดนคกำดเดกำ หรพอใชด้เทคนตคสคุรุ่มรหบัสผรุ่กำนไปเรพพื่อยๆ
จนกวรุ่กำจะผรุ่กำน เปลอีพื่ยนไปใชด้วตธอีทอีพื่แขกงกวรุ่กำคพอใชด้ ssh-key ทอีพื่ใชด้ public-key/private-key โดย private-
key เกกบทอีพื่เครพพื่อง desktop หรพอ laptop ทอีพื่ปลอดภบัย และมอีกกำรเขด้กำรหบัสผรุ่กำนไวด้ทอีพื่ private-key ออีกชบัสน
- มอีระบบ ban อบัตโนมบัตต เมพพื่อเกตดกกำรพยกำยกำม attack ssh (ใชด้ fail2ban)
- กกกำหนดกฎ frewall ทอีพื่เหมกำะสม
- ใชด้งกำนระบบผรุ่กำน https แทน http
และอพพื่นๆ ตกำม http://wiki.centos.org/HowTos/OS_Protection