Estou executando um servidor web Debian. Embora os pacotes estejam atualizados, o software de detecção de vulnerabilidades atual (por exemplo, o Nessus) encontrou vários riscos potenciais de segurança que existem no software fornecido por esses pacotes - minhas maiores preocupações são o Apache e o PHP.
Estou planejando trabalhar em torno disso, compilando-os a partir da fonte, mas não tenho certeza sobre os passos que devo dar primeiro. Devo desinstalar os pacotes Apache / PHP antes de instalar a partir do código-fonte? E sobre suas dependências?
A primeira coisa a fazer é verificar os changelogs dos pacotes para ter certeza de que eles não foram corrigidos para o vunerabilit (y / ies); vários fornecedores remetem os patches de segurança para versões mais antigas.
Depois disso, você deve desinstalar os pacotes do sistema para que haja menos confusão sobre qual versão está sendo executada. Infelizmente, você geralmente terá que lidar com os pacotes que dependem deles, construindo a partir da fonte, conforme necessário.