我已经使用 apt-get 在 ubuntu server 14.04 上安装了 apache。我建立了一个简单的网站,上传了一些图片等,网站运行正常。我决定使用在线安全检查服务之一来检查一下网站的安全性。安全审计显示我存在 2 个中等严重性问题:
Apache Running Version Prior to 2.4.8
Apache Running Version Prior to 2.4.10
该存储库没有任何更新,因此我假设我拥有最高可用版本...我唯一知道如何检查的是使用 curl 的 openproxy(我尝试获取维基百科页面并得到了我自己的主页,这似乎是正确的)
- 我是否应该关注我可用的 Apache 版本,或者安全补丁是否被反向移植并且版本在这里无关紧要?
- 如何测试服务器的漏洞,应该特别注意什么?
在日志中我看到很多被 fail2ban 阻止的 ssh brutalforce 尝试,并且在 apache 日志中看到一些奇怪的 GET 请求(许多表示 shellshock 尝试),还有对其他站点的 GET 请求,正如我提到的那样,这些请求返回了我的主页。
答案1
不,不必担心旧版本号。Ubuntu 打包程序会将安全补丁反向移植到旧版本。截至目前,如果您运行
apt-cache policy apache2,您应该会看到版本 2.4.7-1ubuntu4.1,该版本来自 security.ubuntu.com 以及 us.archive.ubuntu.com。这个问题太大了,无法在这里回答。但看看保护 LAMP 服务器的技巧。