我购买了一台二手 Supermicro 服务器(2011 年)来托管我自己的 Web 服务。我安装了 Debian 10 Buster 并设置了 LAMP 服务器。端口 80 和 443 只能通过 NAT 后面的互联网访问。
服务器主板型号为 X9SCM-F。在 Supermicro 网站上,它被标记为 EOL。英特尔 82579LM 和 82574L 以太网控制器被标记为“预计停产”。
使用报废服务器硬件的风险是什么?如果我的操作系统没有受到损害,是否有可能从互联网上利用硬件安全漏洞?
谢谢。
答案1
是的,这么老的硬件确实存在安全风险。举个具体的例子,推测执行侧通道 CPU 攻击无法通过软件完全修复。
超微 X9SCM-F可以插槽 Xeon E3-1200 v2 系列。每英特尔安全指导,该系列已停产。理论上,BIOS 更新会修复一些问题,直到英特尔停止发布此 CPU 的微代码,但我发现的 Supermicro BIOS 更新似乎太旧了,无法修复任何问题。
此类硬件级安全漏洞不易利用,需要使用不受信任的代码以非常特殊的方式运行 CPU。不太可能针对大多数组织的风险级别,但令人担忧的是,它绕过了许多隔离技术。
至于不需要操作系统通过互联网利用硬件漏洞,带外管理是有风险的。不要将 IPMI 或类似设备放在互联网上,尤其是当该服务器型号不再有安全更新时。
在其他风险类别中,您不太可能获得有关此硬件的帮助。硬件和软件支持可能对您没有帮助,并且可能无法获得零件。
端口 80 和 443 仅可通过 NAT 后面的互联网访问。
NAT 不提供安全性。防火墙才提供安全性。在 IPv6 网络中,没有 NAT 的等效数据包过滤器同样安全。