Linux Security (conectando buracos abertos em sistemas antigos) [fechado]

Recentemente iniciei uma nova posição em uma empresa relativamente pequena e assumi a posição de liderança no lado do Linux / UNIX (e no Windows Server / AD etc., mas isso não vem ao caso) em nossa empresa (antes havia um cara que fez absolutamente tudo relacionado TIC). Ele ainda está conosco e meio que meu igual, mas agora se permite concentrar mais no lado da rede de coisas que ele é provavelmente; pelo menos no que diz respeito à experiência, meu superior; enquanto eu assumo a maior responsabilidade pelo lado Linux / UNIX / Windows / (sistemas e aplicativos gerais), (e rede enquanto / sempre que ele estiver ausente).

Muitos anos atrás, antes de eu entrar, ele configurou um servidor de e-mail Debian (e vários outros nós internos / DMZ) para nossa empresa, mas devido a restrições de tempo simplesmente não tinha horas suficientes no dia para manter as atualizações e segurança para estes (culpe nosso chefe; para ser justo com meu colega, dado o tempo disponível e o conhecimento que ele tinha na época, acho que ele fez um ótimo trabalho ao configurar esses servidores). Muitos anos se passaram e acabei assumindo o comando desses nós e decidi fazer um teste preliminar de penetração nos sistemas dos quais herdei a responsabilidade. Consegui explorar remotamente o ShellShock e mostrar provas de conceito de alguns outros problemas conhecidos em pouco tempo, dezenas de minutos, de fato.

O mais importante desses servidores é nosso servidor de e-mail principal, e a maioria dos outros em questão, que são muito antigos (versão 3 eu acho) do Debian Linux, que não tem mais suporte ou repositórios ativos para (eu tenho desde a criação de secundárias em execução paralela no FreeBSD, que são, para a maioria dos casos, consideradas seguras, mas devido à configuração complexa que meu colega implementou, não foram capazes de substituir completamente).

Minha pergunta é; Eu provavelmente terei que construir pacotes como bash e openssl e similares que tiveram grandes falhas de segurança neles nos últimos meses / anos, a partir do código fonte, já que o Debian não liberou por algum tempo patches para esses sistemas e os substituiu inteiramente é muito demorado para não ter uma correção temporária no lugar por enquanto; onde seria o melhor lugar para:

1. descubra quais pacotes tiveram grandes falhas de segurança nos últimos anos,
2. obtenha o código-fonte para criá-los,
3. como construí-los para evitar problemas de dependência (nenhum compilador em nós em questão terá que compilar cruzadamente de outro sistema, provavelmente estaticamente com dependências embutidas),
4. como testar tudo depois para ter certeza de que funciona conforme o esperado e pelo menos não está mais aberto a todos, exceto aos intrusos mais determinados (eu posso me testar, mas percebo que há vários anos para explorar). / li>

Eu sou principalmente um usuário do Gentoo e do FreeBSD, então não me mantive atualizado sobre o conhecimento Debian, mas sou um usuário Linux / UNIX muito experiente em geral com um pouco de experiência em programação, mas quero ter certeza Eu não negligencio nada antes de potencialmente colocar nosso principal servidor de e-mail e vários de nossos servidores de uso interno.