Вопрос: Безопасно ли запускать старые дистрибутивы Linux, такие как CentOS 4.4?


Очевидно, что лучше всего использовать обновленный дистрибутив или, по крайней мере, тот, который все еще получает обновления для системы безопасности. Если для определенной части программного обеспечения требуется более ранний дистрибутив, такой как CentOS 4.4 (по требованию поставщика продолжать получать поддержку), должно ли это быть серьезной проблемой безопасности для нас, если предположить, что у нас есть сам сервер за хорошо защищенным брандмауэром?


6
2018-04-27 21:40


Источник


Что делать, если вы просто не говорите поставщику, что больше не используете CentOS 4.4? Вы пытались запустить программное обеспечение на более новом дистрибутиве? Опять же, если они не смогут поддерживать свое программное обеспечение, работающее на чем-либо более новом, чем 5-1 / 2-летняя ОС EOL, возможно, пришло время начать поиск другого поставщика, который действует вместе. - rob
Что это за продавец? Мне нужно знать, поэтому я могу избежать их, как чуму. - Joel E Salas
правильно, вы бы предположили, что для программного обеспечения нужны только конкретные версии некоторых библиотек и что продавец просто ленится, не указывая их должным образом и / или не тестируя программное обеспечение с более новыми версиями. Я согласен с Джоэлем. Имя и стыд: P - naught101
Поставщик - Fonality, а продукт - Trixbox Pro. - Eric


Ответы:


Это зависит от того, какое программное обеспечение будет работать в этом поле, если оно будет отображаться в других частях вашей сети или в Интернете и т. Д.

CentOS 4 был EOL'd в феврале, Больше не будет обновлений для системы безопасности, но будет много уязвимостей безопасности. Не используйте его, если вы не хотите выполнять требуемую работу, чтобы поддерживать систему в актуальном состоянии. Говоря в целом, безопасность современной системы, такой как CentOS 5 или CentOS 6, будет лучше CentOS 4.

Если вы сохраняете эту неподдерживаемую систему в своей сети, существует риск того, что взломщик может поставить под угрозу эту систему внутри вашей сети и использовать ее в качестве трамплина для подключения других систем в вашей сети.

CentOS 4 EOL было объявлено давно, так что поставщики успеют обновить свое программное обеспечение. Ваш поставщик не смог этого сделать, что вызывает сомнения в их компетенции. У них было достаточно времени для перехода из CentOS 4 в CentOS 5, а CentOS 5 получать обновления безопасности до 2017 года, С тех пор ваш поставщик мог избавиться от этой липкой ситуации.

CentOS 4 старше 7 лет. CentOS 6 был выпущен 6 месяцев назад,

Если вы абсолютно не можете покинуть CentOS 4, обратите внимание:

  • CentOS 4.4 очень старый и содержит ряд уязвимостей безопасности. По крайней мере, запланировать это CentOS 4.9, Просмотрите различные базы данных об уязвимостях безопасности для вашего программного обеспечения, исправить при необходимости или уменьшить риск.
  • Будьте готовы поддерживать систему самостоятельно.
  • RHEL предлагает платный вариант, чтобы помочь обновить программное обеспечение. Вот что сообщает объявление CentOS 4 EOL:

    Для пользователей, которые не могут мигрировать с базы кода EL 4 до ее конечный срок службы, поставщик восходящего потока намерен предложить ограниченный, дополнительную программу расширения. Проект CentOS рекомендует вам обратитесь в свою торговую группу за ценовой ценой за их расширенное обслуживание, если вы не сможете перейти на новую кодовую базу до 29 февраля 2012 года.


11
2018-04-27 22:03



Вам будет лучше запрашивать котировки цен на тех, кто может помочь вам перейти на более новую версию вашей ОС и сделать процесс менее болезненным в следующий раз, чем заплатить поставщику, чтобы он поддерживал вашу старую версию. Это просто избегает неизбежного, потому что мигрировать вы должны ... - aseq
@aseq: ваш комментарий полностью игнорирует контекст OP ... - naught101


Вы между скалой и тяжелым местом.

Мое мнение может быть не популярным, но ...

Эта версия CentOS была завершена, поэтому любые новые уязвимости не будут исправлены.

НО, если вы хотите получить поддержку от своего поставщика, вам нужно запустить это небезопасное программное обеспечение.

ТАК

A) Безопасна ли она? Это зависит от того, что вы используете и у кого есть доступ. Я бы сказал, что если вы используете НИЧЕГО, а абстрактный доступ к определенному фрагменту программного обеспечения внутри вашей компании, и у вас нет пользователей внутри компании, которые являются нарушителями спокойствия, и к компьютеру нет доступа ни к чему, кроме консоли вне этого приложения, и приложение не запускается как пользователь root, тогда вы можете быть несколько безопасным. Или «достаточно безопасно». Практически.

B) Ваш поставщик ОЧЕНЬ безответственный, чтобы не обновлять программное обеспечение и не вызывать выпуск до такой степени, когда платформа заканчивается ... и они до сих пор не выпустили новую версию.

C) Я бы следил за постоянно живущим! @ #% Из этого сервера. Выполняйте стелс против него с доверенных хостов. Запустите tripwire. Резервные копии регулярно. Вредоносная программа проверяет как можно более актуальную информацию. Вам нужно выяснить, что, если что-то изменит эту машину, когда файл не должен быть изменен.

Для ВАШЕГО описанного случая ответ отрицательный, он небезопасен, но вы можете предпринять шаги, чтобы сделать его разумно проверенным на предмет проблем. Вы не понимаете, что это за приложение (я бы почти хотел попросить вас назвать его, если это может быть что-то другое, поскольку другие должны избегать этого поставщика ...), но мой подход будет заключаться в том, чтобы вы должны оставить дверь в свой дом разблокированной, вы должны заложить как можно больше камер безопасности, записывающих на удаленный объект, для доказательства того, что взломщик должен был проникнуть. То есть, используйте скрытность для мониторинга файлов, использования обнаружения вторжений, использования контрольные суммы, вырезать все ненужные сервисы, избавляться от компиляторов на сервере, если они есть, и т. д. и надавливать на вашего поставщика, чтобы ОБНОВИТЬ свое ПО или поддерживать его на более обновленной платформе.

Практически говоря, вы можете только уменьшить риск.


9
2018-04-27 22:31



+1 хорошее использование клише :-) - johnshen64
Я бы сказал, что этот совет применим независимо от того, является ли продукт EOL'd. - rob
Правильно. +1 для a). Безопасность не является категоричной. - naught101


centos 4.4 был завершен, что означает, что если будут обнаружены какие-либо будущие отверстия, патч не будет предоставлен. тем не менее, действительно, ваша команда безопасности вашей компании должна решить в этом случае, и на какое соответствие вы подвергаетесь. если поставщик не может предоставить путь обновления, вам, возможно, придется искать альтернативу, если его сохранение нарушит какую-либо политику или требования соответствия, особенно. если вы подчинены PCI.


3
2018-04-27 21:53