Безопасно ли запускать старые дистрибутивы Linux, такие как CentOS 4.4?
Очевидно, что рекомендуется запускать современный дистрибутив или, по крайней мере, тот, который все еще получает обновления безопасности. Если конкретному программному обеспечению требуется более старый дистрибутив, такой как CentOS 4.4 (который поставщик обязуется продолжать получать поддержку), должно ли это быть для нас серьезной проблемой безопасности, если предположить, что сам сервер находится за хорошо защищенным межсетевым экраном?
3 ответа
Это зависит от того, какое программное обеспечение будет работать на этом устройстве, будет ли оно открыто для других частей вашей сети, или для доступа в Интернет и т. Д.
CentOS 4 был EOL'd в феврале. Для него больше не будет обновлений безопасности, но будет много уязвимостей безопасности. Не используйте его, если вы не готовы выполнить необходимую работу, чтобы поддерживать систему в актуальном состоянии. Вообще говоря, безопасность современной системы, такой как CentOS 5 или CentOS 6, будет лучше, чем CentOS 4.
Если вы оставите эту непропатченную систему в своей сети, существует риск того, что взломщик может поставить под угрозу эту систему внутри вашей сети и использовать ее в качестве трамплина для подключения других систем в вашей сети.
CentOS 4 EOL был анонсирован очень давно, чтобы у продавцов было время обновить свое программное обеспечение. Ваш поставщик не смог этого сделать, что ставит под сомнение их компетентность. У них было достаточно времени для перехода с CentOS 4 на CentOS 5, а CentOS 5 будет получать обновления безопасности до 2017 года. Ваш продавец мог бы выбраться из этой сложной ситуации много лет назад.
CentOS 4 старше 7 лет. CentOS 6 был выпущен более 6 месяцев назад.
Если вы абсолютно не можете выйти из CentOS 4, учтите, что:
- CentOS 4.4 очень старый и содержит ряд уязвимостей безопасности. По крайней мере, исправь это на CentOS 4.9. Просмотрите различные базы данных об уязвимостях безопасности для вашего программного обеспечения, исправьте, если необходимо, или уменьшите риск.
- Будьте готовы поддерживать систему самостоятельно.
RHEL предлагает платную опцию, чтобы поддерживать программное обеспечение в актуальном состоянии. Вот что говорится в объявлении CentOS 4 EOL:
Для пользователей, которые не могут перейти с кодовой базы EL 4 до истечения срока его действия, вышестоящий провайдер намерен предложить ограниченную, необязательную программу расширения. CentOS Project рекомендует связаться с их отделом продаж для уточнения цены за расширенное обслуживание, если вы не можете перейти на более новую кодовую базу до 29 февраля 2012 года.
Ты между молотом и наковальней.
На мой взгляд, не может быть популярным, но...
Эта версия CentOS была окончена, поэтому любые новые уязвимости не будут исправлены.
НО, если вам нужна поддержка от вашего поставщика, вам нужно запустить это небезопасное программное обеспечение.
ТАК
А) Это безопасно? Это зависит от того, что вы используете и у кого есть доступ. Я бы сказал, что если вы используете НИЧЕГО, кроме абстрактного доступа к определенной части программного обеспечения в вашей компании, и у вас нет пользователей внутри компании, которые создают проблемы, и к компьютеру нет доступа ни к чему, кроме консоли вне этого приложения, и приложение не запускается от имени пользователя root, тогда вы можете быть несколько в безопасности. Или "достаточно безопасно". В практическом плане.
Б) Ваш поставщик ОЧЕНЬ безответственен за то, что не обновил программное обеспечение и не принудил выпуск к моменту, когда платформа окончательно остановилась... и они до сих пор не выпустили новую версию.
C) Я буду следить за вечно живущим!@#% Этого сервера. Запустите стелс против него с доверенных хостов. Запустите tripwire. Резервные копии регулярно. Вредоносные программы сканируются как можно более современными. Вам нужно выяснить, что, если что-то изменит эту машину, когда файл не должен быть изменен.
Для ВАШЕГО описанного случая ответ - нет, это небезопасно, но вы можете предпринять шаги, чтобы сделать его разумно проверенным на наличие проблем. Вы не понимаете, что это за приложение (я почти хотел бы попросить вас назвать его, если другие могут столкнуться с этим, так как другие должны избегать этого поставщика...), но мой подход заключается в том, чтобы по существу защищать это, так как Вы должны оставить дверь в свой дом незапертой, вы должны установить как можно больше камер видеонаблюдения на удаленном объекте для доказательства того, что взломщик должен был взломать. То есть использовать скрытность для мониторинга файлов, использовать обнаружение вторжений, использовать контрольные суммы, вырежьте все ненужные сервисы, избавьтесь от компиляторов на сервере, если они там есть, и т. д. и заставьте вашего поставщика ОБНОВИТЬ их программное обеспечение или поддержать его на более обновленной платформе.
Практически говоря, вы можете только уменьшить риск.
Centos 4.4 был завершен, то есть, если в будущем будут обнаружены дыры, патч предоставляться не будет. однако, в действительности, дело за командой безопасности вашей компании, а также за соблюдением каких-либо требований. если поставщик не может предоставить путь обновления, вам, возможно, придется искать альтернативу, если его сохранение нарушит какую-то политику или требования соответствия, особенно если вы подвержены PCI.