运行最新的发行版,或者至少运行仍在获取安全更新的发行版,显然是最佳做法。如果某个软件需要较旧的发行版(如 CentOS 4.4,供应商要求继续获得支持),假设我们的服务器本身位于安全良好的防火墙后面,这对我们来说是否是一个重大的安全问题?
答案1
这取决于该盒子上运行什么软件,它是否会暴露给网络的其他部分,或者暴露给互联网等。
CentOS 4 于二月停产。它将不再有安全更新,但会存在大量安全漏洞。除非您愿意执行必要的工作以保持系统最新,否则请不要使用它。一般来说,像 CentOS 5 或 CentOS 6 这样的现代系统的安全性将比 CentOS 4 更好。
如果您将这个未打补丁的系统保留在您的网络上,那么攻击者可能会破坏您网络内的该系统,并将其用作跳板来连接您网络上的其他系统。
这CentOS 4 终止服务很久以前就宣布了,以便供应商有时间更新他们的软件。您的供应商未能做到这一点,这令人怀疑他们的能力。他们有充足的时间从 CentOS 4 迁移到 CentOS 5,而 CentOS 5 将接收安全更新直至 2017 年。您的供应商几年前就可能摆脱这种困境。
CentOS 4 已经有 7 年的历史了。CentOS 6 于6 个月前。
如果你实在无法放弃 CentOS 4,请注意:
- CentOS 4.4 非常旧,包含许多安全漏洞。至少将其修补为 CentOS 4.9. 回顾各种安全漏洞数据库针对您的软件,在必要时进行修补,或降低风险。
- 愿意自行维护系统。
RHEL 确实提供了付费选项来帮助保持软件更新。以下是 CentOS 4 EOL 公告的内容:
对于无法在 EL 4 代码库的终止日期之前迁移的用户,上游提供商打算提供有限的可选扩展程序。如果您无法在 2012 年 2 月 29 日之前迁移到较新的代码库,CentOS 项目建议您联系他们的销售团队以获取其扩展服务的报价。
答案2
你处于进退维谷的境地。
我的观点可能不受欢迎,但是...
该版本的 CentOS 已不再有效,因此任何新的漏洞都不会被修补。
但是如果您想获得供应商的支持,您需要运行该不安全的软件。
所以
A) 它安全吗?这取决于你运行的是什么以及谁有访问权限。我想说的是,如果你只运行对公司内特定软件的抽象访问,并且公司内没有惹是生非的用户,并且除了该应用程序之外的控制台之外没有任何其他东西可以访问计算机,并且该应用程序不是以 root 用户身份运行的,那么你可能比较安全。或者“足够安全”。从实际角度来说。
B) 您的供应商非常不负责任,没有升级软件并强制发布到平台生命周期终止的阶段......而且他们仍然没有发布新版本。
C) 我会监控该服务器的 !@#%。从受信任的主机对其进行隐身攻击。运行 tripwire。定期备份。恶意软件扫描尽可能保持最新。您需要找出当文件不应该被更改时是否有任何东西改变了该机器。
对于您所描述的情况,答案是否定的,它并不安全,但您可以采取措施合理地检查是否存在问题。您不需要了解这个应用程序是什么(如果其他人可能会遇到它,我几乎想求您说出它的名字,因为其他人应该避开这个供应商……)但我的方法基本上是提倡,因为你必须把门打开,你应该安装尽可能多的安全摄像头,记录到远程设施,以便在窃贼闯入时作为证据。也就是说,使用隐身技术来监视文件,使用入侵检测,使用校验和,切断所有不必要的服务,如果服务器上有编译器,则删除它们,等等。并迫使您的供应商更新他们的软件或在更新的平台上支持它。
实际上来说,你只能减轻风险。
答案3
centos 4.4 的生命周期已经结束,这意味着如果将来发现任何漏洞,将不会提供补丁。但是,在这种情况下,这实际上取决于您公司的安全团队来决定,以及您需要遵守什么规定。如果供应商无法提供升级路径,您可能必须寻找替代方案,如果保留它会违反某种政策或合规性要求,特别是如果您受 PCI 约束。