web-dev-qa-db-ja.com

CentOS 4.4のような古いLinuxディストリビューションを実行するのは安全ですか?

明らかに、最新のディストリビューションを実行すること、または少なくとも1つはまだセキュリティ更新を取得していることを実行することをお勧めします。特定のソフトウェアでCentOS4.4(ベンダーがサポートを継続するように義務付けている)などの古いディストリビューションが必要な場合、サーバー自体が十分にセキュリティ保護されたファイアウォールの背後にあると仮定すると、これはセキュリティ上の重大な懸念事項になりますか?

linuxcentossecurity
6
Eric

このボックスで実行されるソフトウェア、ネットワークの他の部分に公開されるか、インターネットに公開されるかなどによって異なります。

CentOS 4は2月にEOLされました 。セキュリティアップデートはもうありませんが、セキュリティの脆弱性はたくさんあります。システムを最新の状態に保つために必要な作業を実行する意思がない限り、使用しないでください。一般的に言えば、CentOS5やCentOS6のような最新のシステムのセキュリティはCentOS4よりも優れています。

このパッチが適用されていないシステムをネットワーク上に保持すると、クラッカーがネットワーク内のそのシステムを危険にさらし、ネットワーク上の他のシステムを接続するための踏み台として使用するリスクがあります。

CentOS 4 EOL は、ベンダーがソフトウェアを更新する時間を確保できるように、かなり前に発表されました。あなたのベンダーはこれを行うことができず、それは彼らの能力に疑問を投げかけています。 CentOS4からCentOS5に移行するのに十分な時間があり、CentOS 5は 2017年までセキュリティアップデートを受信します 。あなたのベンダーは、何年も前にこの厄介な状況から抜け出した可能性があります。

CentOS4は7年以上前のものです。 CentOS 6は 6か月前 でリリースされました。

CentOS 4から完全に移行できない場合は、次の点に注意してください。

  • CentOS 4.4は非常に古く、多くのセキュリティの脆弱性が含まれています。 少なくともCentOS 4.9になるようにパッチを適用します 。ソフトウェアのさまざまな セキュリティ脆弱性のデータベース を確認し、必要に応じてパッチを適用するか、リスクを軽減します。
  • 自分でシステムを維持することをいとわない。

  • RHELは、ソフトウェアを最新の状態に保つのに役立つ有料オプションを提供します。 CentOS 4EOLの発表の内容は次のとおりです。

    寿命が切れる前にEL4コードベースから移行できないユーザーのために、アップストリームプロバイダーは限定されたオプションの拡張プログラムを提供する予定です。 CentOSプロジェクトでは、2012年2月29日より前に新しいコードベースに移行できない場合は、拡張サービスの見積もりについて営業チームに問い合わせることをお勧めします。

11
Stefan Lasiewski

あなたは岩と困難な場所の間にいます。

私の見解は人気がないかもしれませんが...

そのバージョンのCentOSはサポートが終了したため、新しい脆弱性にはパッチが適用されません。

ただし、ベンダーからのサポートが必要な場合は、その安全でないソフトウェアを実行する必要があります。

SO

A)安全ですか?それはあなたが実行しているものと誰がアクセスできるかによります。何も実行していないが、社内の特定のソフトウェアへの抽象的なアクセスがあり、トラブルメーカーであるユーザーが社内になく、そのアプリケーションの外部のコンソール以外からコンピューターにアクセスされていない場合は、アプリケーションがrootユーザーとして実行されていない場合は、ある程度安全である可能性があります。または「十分に安全」。実際には。

B)ベンダーは、ソフトウェアをアップグレードせず、プラットフォームのサポートが終了するまでリリースを強制することに非常に責任があります...そして、ベンダーはまだ新しいバージョンをリリースしていません。

C)私はそのサーバーから永遠に生きている!@#%を監視しているでしょう。信頼できるホストからステルスを実行します。 tripwireを実行します。定期的にバックアップします。マルウェアは可能な限り最新の状態でスキャンします。ファイルを変更してはならないときに、そのマシンが変更された場合はどうなるかを調べる必要があります。

あなたが説明したケースの場合、答えはノーです。安全ではありませんが、問題がないか合理的にチェックするための手順を実行できます。このアプリケーションが何であるかはわかりませんが(他の人がこのベンダーを避ける必要があるため、他の人が遭遇する可能性がある場合は、名前を付けてください...)が、私のアプローチは本質的にそれを支持することです。家のドアのロックを解除したままにする必要があります。泥棒が侵入したかどうかを証明するために、できるだけ多くのセキュリティカメラをリモート施設に記録する必要があります。つまり、ステルスを使用してファイルを監視し、侵入検出を使用し、チェックサム、不要なサービスのすべての削除、サーバー上のコンパイラーが存在する場合はそれらの削除などを行い、ベンダーにソフトウェアを更新するか、より更新されたプラットフォームでサポートするように圧力をかけます。

実際には、リスクを軽減することしかできません。

9
Bart Silverstrim

centos 4.4はサポートが終了しました。つまり、将来の穴が発見された場合、パッチは提供されません。ただし、この場合、どのコンプライアンスを適用するかを決定するのは、実際には会社のセキュリティチーム次第です。ベンダーがアップグレードパスを提供できない場合、それを維持することが何らかのポリシーまたはコンプライアンス要件に違反する場合は、代替手段を探す必要があります。 PCIの対象となる場合。

3
johnshen64