最近,我在工作中遇到了一台服务器,它每天有 10-20 位用户使用它作为某种 Web 服务器。它运行的是 Ubuntu 12,似乎很长时间没有更新了。目前有超过 300 个安全更新等待安装。
我使用 Ubuntu 已有多年,并提出在周末对服务器进行升级和维护工作,以便解决任何潜在问题。但我得到的答复是坚决的“不”,并向我解释说,由于服务器仅在本地网络上运行,因此风险很小。
这是正确的吗?在本地网络上运行从未更新的服务器时应考虑哪些风险?
有问题的服务器确实会从网络发出请求,从其他网络服务器下载信息。使用该服务器的用户可在同一网络上访问互联网。用于网络、ssh 和 ftp 访问的端口仅在本地网络上开放,并且受密码保护。
答案1
“仅供内部使用”的机器仍然可能被攻破,因为其他“内部”机器(或网关)被攻破,攻击者会进行“横向移动”以发现更多可滥用的资源,或提高他们持续访问的机会。因此,仅仅因为机器位于公司基础设施的软、粘中心而不对其进行修补是一个愚蠢的想法。
话虽如此,如果你已经询问过并且被拒绝了,你就不应该这么做。采取一点 CYA 措施:以书面形式告知当权者,机器没有打补丁,可能会受到威胁,而且他们拒绝让你这么做。然后,当一切都变得一团糟时,你就有了一些反击的弹药。记得在家里也保留一份该电子邮件的副本……
答案2
大约 90% 的安全更新包含没有已知漏洞的修复程序。另一点是用户群和信息成本。如果公司所有者确信他的任何员工都不会背叛他,并利用该服务器中未发布的数据为自己牟利或损害公司,那么为什么不呢?但是,如果您有能力停止服务器、进行完整备份并应用更新,那么这是值得的。