「Ubuntuサーバは、セキュリティがゆるい」などという旨の記事を、ちらほら見かけます。 新しいディストリビューションだから枯れてない → セキュリティが弱い という論理は、分かるのですが、 無駄なソフトウェアやサービスが多数稼動しているサーバほど、 脆弱であるという論理もまた、成り立つはずです。 Ubuntuサーバのウリとして、 「多くのソフトがパッケージされていない」ということがあると思います。 無駄が少ないということは、セキュアなサーバには大事な要素であると思います。 「ディストリビューションが枯れている」ことと、 「複数のサービスが稼動していないこと」を比較したとき、 どちらがセキュリティの観点から、重みがあるといえるでしょうか？ 前提が漠然としすぎているので、具体例を挙げます。 「Apache2のみをインストールして80番ポートのみ外部公開しているUbuntu Server」と、 「Apache2とOpenSSHをインストールして80番と22番ポートを外部公開しているCentOS」 だったら、どちらが直感的によりセキュアと感じることが出来るでしょうか？ 各ディストリビューションは現在の安定版の最新をインストールするものとし、 余計なソフトやサービスは、一切追加しないとします。 他、ハード、ルータ（ファイアウォール)設定、ネットワーク構成、などは、同一とします。 あくまで、比較の話としてお願い致します。 漠然とした質問ですので、回答は決して具体的でなくても、 直感的で結構ですが、薀蓄があれば歓迎です。 条件を足したり引いたりして、○○ならどっち…という回答でも、歓迎です。 票を投ずる感覚で、是非、お願い致します。