前述のOSの新しいバージョンでは利用できない特定のパッケージ(moodle)を1つ持っています。 moodleの最後のバージョンは、4年以上前のOpenBSD 5.3で利用可能でした。
OpenBSDの印象的なセキュリティ実績を知っていますが、インターネットに公開されているOpenBSD 5.3サーバーにmoodleパッケージ(www.moodle.org)をインストールすることにはセキュリティ上のリスクがありますか?
4年以上前の前述のOSの新しいバージョン(moodleの最後のバージョンはOpenBSD 5.3で利用可能でした)では利用できない特定のパッケージ(moodle)を1つ持っています。
私の意見では、あなたは間違った質問をします。問題は古いバージョンのOpenBSDではなく、このOpenBSDバージョンで実行したい古いバージョンのMoodleです。詳細を指定していませんが、あなたが使用したいのは this package (または here )であり、PHP 5.4にMoodle 1.9.16が含まれています。 -両方とも非常に古い。
OpenBSDのリリースは、基本的に1年間サポートされます。サポートから3年以上経過しているバージョンのOpenBSDを実行することは、攻撃表面を最小限に抑えるために何をしているのかを本当に理解している場合に実行できます。システム上の信頼できないユーザー。
しかし、Moodleのような大規模なWebアプリケーションを実行することは、明らかに最小の攻撃対象としてカウントされません。通常、Webアプリケーションは複雑で、セキュリティの脆弱性が存在することが多く、リモートでコードを実行できる重大な脆弱性も存在します。そして、そのような脆弱性は 単純な検索 が示すように、古いバージョンのMoodleにも存在します。また、重要な修正が古いバージョンにバックポートされることもありますが、 コミット履歴 から、このパッケージの最後の変更が2012-01-21に行われたことがわかります。 2013年9月20日にパッケージからポートが削除されたのは、このパッケージのメンテナンスが行われていない理由でもあったと思います。
言い換えると、既知の重大なセキュリティ脆弱性を持つMoodleのような大規模で複雑なアプリケーションの古いバージョンを実行することは、非常に悪い考えです。そして、OpenBSDのセキュリティは、この場合あなたを保護するのに役立ちません。現在のバージョンを使用している場合はあまり役に立ちません。また、メンテナンスされていない古いバージョンのOpenBSDを使用している場合はあまり役に立ちません。
BSDはそれとは何の関係もありません(しかしそれは良い選択です)。
適切にパッチを当てれば、古いソフトウェアを実行することはかなり可能です。
グーグルとCVE DBはあなたの友達です
https://www.google.com/search?q=open+bsd+5.3+vulnerabilities
9つの脆弱性が構成と展開に関連しており、それらにパッチを適用できるかどうかを判断します。
Moodle、およびWebでCVEを宣伝する予定のその他のサービスを検索し、それらの関連性を判断し、それに応じてパッチを適用します。
パッチを適用したり軽減したりできない脆弱性があると判断した場合は、安全なトンネリング方法がユーザー補助の要件、つまり特定の範囲のIPアドレスへのアクセスを許可するファイアウォールルール、Moodleボックスへのアクセスを制御するEdgeルーターへのVPNに適しているかどうかを判断します。 。
これらは、目的を達成するための幅広いソリューションの一般的なオプションです。