Servidor Apache? Verificação de vulnerabilidade

Question

Servidor Apache? Verificação de vulnerabilidade

#1 resposta do (4 votos)
#2 resposta do (3 votos)

1

Estamos executando o servidor web apache no fedora 8 e precisamos verificar se há vulnerabilidades. O que devemos verificar?

security linux apache-1.3

por neolix 21.02.2012 / 14:24

2 respostas

3

Primeiro de tudo você deve atualizar a distribuição que você está executando. O Fedora 8 foi fim-de-vida há mais de 3 anos e não não fornece mais atualizações de segurança.

Depois de atualizar seu sistema para uma versão recente / suportada, você pode executar um verificador de aplicativos da Web, como Nikto , para determinar sua exposição . Corrigir com base em suas recomendações. Existem scanners de aplicativos da Web mais sofisticados, como QualysGuard ou Acunetix , mas o Nikto é um bom lugar para começar.

Espero que isso ajude.

por 21.02.2012 / 14:52

Tags security linux apache-1.3

O que há de errado com a minha montaria? Eu estou tentando montar e permitir leitura-gravação Como depender de uma classe Puppet antes de montar?

score 4 · Accepted Answer

O que você está fazendo geralmente é desaconselhável, mas você pode tomar algumas medidas para torná-lo mais seguro. Eu estou supondo que você está usando uma distribuição tão antiga porque você tem algum aplicativo não suportado que "requer" essa plataforma. Se você não tem que usar a antiga distro então, como o @ HTTP500 sugere, copie-a para uma nova distribuição.

@ HTTP500 recomenda um scanner de vulnerabilidades de aplicativos da web, mas eu estaria mais apto a recomendar um scanner geral de vulnerabilidades como o Nessus Tenable ou OpenVAS .

Caso contrário, proteja a máquina como faria normalmente. Comece fazendo o básico: Remova qualquer software desnecessário da instalação. Desative quaisquer serviços desnecessários. Aperte as regras de firewall para permitir apenas o tráfego de entrada e saída que você espera. Altere todas as senhas padrão e remova todas as contas que não são necessárias. Atualize tudo para a última versão suportada.

Depois de ter feito tudo isso, comece a pesquisar todos os softwares com os quais os usuários não confiáveis interagirão para obter vulnerabilidades. Eu gosto de Detalhes do CVE , pessoalmente, mas há vários bancos de dados de vulnerabilidades por aí.

Se você encontrar uma vulnerabilidade significativa em qualquer pilha de software, você deve descarregar o software ou fazer backport de uma versão fixa na sua distribuição. A dificuldade de backport dependerá de quanto outro software (bibliotecas compartilhadas, etc) depende do software que está sendo corrigido. Em alguns casos, você poderá configurar outra máquina executando a distribuição antiga com compiladores e construir um RPM para um novo programa com bastante facilidade. Em outros casos, você vai se deparar com uma enorme quantidade de software.

Se as vulnerabilidades encontradas puderem ser atenuadas por um aplicativo de firewall / filtro da camada de aplicativo (um "firewall de aplicativo da web", etc), convém implantar uma coisa dessas na frente do servidor vulnerável. Eu sempre aviso que isso realmente não atenua as vulnerabilidades, apenas as torna mais difíceis de explorar. Você precisa ser extremamente vigilante para que não haja maneiras de contornar a funcionalidade de filtragem que permitiria que atacantes atacassem diretamente o servidor vulnerável.