我们在 Fedora 8 上运行 Apache Web 服务器,需要检查漏洞。我们应该检查什么?
答案1
你的做法通常是不明智的,但是你可以采取一些措施使其更安全。我假设你使用这么老的发行版是因为你有一些不受支持的应用程序“需要”该平台。如果你不必使用那个老发行版,那么,正如@HTTP500建议的那样,放弃它,换一个更新的发行版。
@HTTP500 推荐使用 Web 应用程序漏洞扫描程序,但我更倾向于推荐使用通用漏洞扫描程序,例如Tenable Nessus或者开放虚拟应用系统。
否则,请像平常一样保护机器。从基本操作开始:从安装中删除所有不必要的软件。禁用所有不必要的服务。加强防火墙规则,只允许您预期的入站和出站流量。更改所有默认密码并删除所有不需要的帐户。将所有内容更新到最新支持的版本。
完成所有这些操作后,开始研究不受信任的用户将与之交互的每个软件是否存在漏洞。我喜欢CVE 详细信息,就我个人而言,但是有很多漏洞数据库。
如果您发现任何软件堆栈中存在重大漏洞,则应转储该软件或将修复版本反向移植到您的发行版中。反向移植的难度取决于其他软件(共享库等)对修复的软件的依赖程度。在某些情况下,您可能能够设置另一台运行旧发行版的计算机,并安装编译器,然后相当轻松地为新程序构建 RPM。在其他情况下,您会发现自己正在反向移植大量软件。
如果您发现的漏洞可以通过应用层防火墙/过滤应用程序(“Web 应用程序防火墙”等)缓解,您可以考虑在易受攻击的服务器前面部署此类防火墙。我总是提醒,这实际上并不能缓解漏洞,只是使漏洞更难利用。您必须格外警惕,确保没有办法绕过过滤功能,让攻击者直接攻击易受攻击的服务器。
答案2
首先,你应该更新你正在运行的发行版。Fedora 8生命尽头超过 3 年前,并且不再提供安全更新。
将系统更新到最新/受支持的版本后,你可以运行 Web 应用程序扫描程序,例如尼克托确定您的暴露情况。根据其建议进行补救。还有更复杂的 Web 应用程序扫描程序,例如QualysGuard或者安库奈特但 Nikto 是一个很好的起点。
希望这可以帮助。