É seguro executar distros Linux mais antigas, como o CentOS 4.4?

Question

É seguro executar distros Linux mais antigas, como o CentOS 4.4?

#1 resposta do (11 votos)
#2 resposta do (9 votos)
#3 resposta do (3 votos)

6

É obviamente uma prática recomendada executar uma distribuição atualizada ou pelo menos uma que ainda esteja recebendo atualizações de segurança. Se um determinado software requer uma distro antiga como o CentOS 4.4 (exigido pelo fornecedor para continuar obtendo suporte), isso deve ser uma preocupação de segurança significativa para nós, supondo que o próprio servidor esteja protegido por um firewall bem protegido?

security linux centos

por Eric 27.04.2012 / 23:40

3 respostas

9

Você está entre uma rocha e um lugar difícil.

Minha visualização pode não ser popular, mas ...

Essa versão do CentOS foi finalizada, portanto, qualquer nova vulnerabilidade não será corrigida.

MAS, se você deseja o suporte do seu fornecedor, precisa executar esse software inseguro.

SO

A) É seguro? Isso depende do que você está executando e quem tem acesso. Eu diria que se você estiver executando NADA, mas um acesso abstrato a um determinado bit de software dentro de sua empresa e você não tem usuários dentro da empresa que são encrenqueiros e o computador não é acessado por qualquer coisa, mas o console fora desse aplicativo, e o aplicativo não é executado como usuário root, então você pode estar um pouco seguro. Ou "seguro o suficiente". Em termos práticos.

B) Seu fornecedor é MUITO irresponsável por não atualizar o software e forçar o lançamento a um ponto em que a plataforma está acabando ... e eles ainda não lançaram uma nova versão.

C) Eu estaria monitorando o sempre vivo! @ #% desse servidor. Correr furtivamente contra ele de hosts confiáveis. Corra o tripwire. Backups regularmente. O malware varre o mais atualizado possível. Você precisa descobrir o que se alguma coisa altera a máquina quando um arquivo não deve ser alterado.

Para o caso descrito, a resposta é não, não é seguro, mas você pode tomar medidas para verificar se há problemas. Você não entende o que é esse aplicativo (eu quase gostaria de pedir-lhe que o nomeasse se fosse algo que os outros poderiam encontrar, já que outros deveriam evitar esse vendedor ...), mas minha abordagem seria essencialmente advogar isso desde você tem que deixar a porta destrancada em sua casa, você deve colocar quantas câmeras de segurança gravarem em uma instalação remota quanto possível, para evidências se um invasor invadir. Isto é, use furtividade para monitorar arquivos, use detecção de intrusão, use checksums, cortar todos os serviços desnecessários, livrar-se de compiladores no servidor, se eles estão lá, etc. e pressionar o seu fornecedor para atualizar seu software ou apoiá-lo em uma plataforma mais atualizada.

Praticamente falando, você só pode atenuar o risco.

por 28.04.2012 / 00:31

3

O centos 4.4 tem um fim de vida, o que significa que se houver furos futuros descobertos, nenhum patch será fornecido. No entanto, cabe à equipe de segurança da sua empresa decidir nesse caso e a que conformidade você está sujeito. Se o fornecedor não puder fornecer um caminho de atualização, talvez seja necessário procurar uma alternativa, se a manutenção violar algum tipo de política ou requisitos de conformidade, esp. se você estiver sujeito a PCI.

por 27.04.2012 / 23:53

Tags security linux centos

Como forçar o SSL (https) no local do Apache iptables regras para combater os ataques DoS mais comuns? [fechadas]

score 11 · Accepted Answer

Depende de qual software será executado nesta caixa, se ele será exposto a outras partes da sua rede ou exposto à Internet, etc.

O CentOS 4 foi finalizado em fevereiro . Não haverá atualizações de segurança por mais tempo, mas haverá muitas vulnerabilidades de segurança. Não o use a menos que você esteja disposto a executar o trabalho necessário para manter o sistema atualizado. Falando em geral, a segurança de um sistema moderno como o CentOS 5 ou o CentOS 6 será melhor que o CentOS 4.

Se você mantiver esse sistema sem patch na sua rede, há um risco de que um invasor possa comprometer esse sistema dentro de sua rede e usá-lo como um trampolim para conectar outros sistemas em sua rede.

O CentOS 4 EOL foi anunciado há muito tempo para que os fornecedores teria tempo para atualizar seu software. Seu fornecedor não conseguiu fazer isso, o que chama a sua competência em questão. Eles tiveram muito tempo para migrar do CentOS 4 para o CentOS 5, e o CentOS 5 terá recebimento de atualizações de segurança até 2017 . Seu fornecedor poderia ter saído dessa situação complicada anos atrás.

O CentOS 4 tem mais de 7 anos. O CentOS 6 foi lançado em 6 meses atrás .

Se você não pode sair do CentOS 4, note que:

O CentOS 4.4 é muito antigo e contém várias vulnerabilidades de segurança. Pelo menos, atualize-o para ser o CentOS 4.9 . Analise os vários bancos de dados de vulnerabilidades de segurança para seu software, corrija, se necessário, ou diminua o risco.
Esteja disposto a manter o sistema por conta própria.
O RHEL oferece uma opção paga para ajudar a manter o software atualizado. Aqui está o que o anúncio do CentOS 4 EOL diz:

Para usuários que não conseguem migrar da base de código EL 4 antes de sua data de fim de vida, o fornecedor de upstream pretende oferecer uma programa de extensão opcional. O Projeto CentOS recomenda que você Entre em contato com a equipe de vendas para obter uma cotação de preço para o serviço estendido você não pode passar para uma nova base de código antes de 29 de fevereiro de 2012.