관리 책임자가 각 업데이트 패키지의 손상 여부를 테스트하는 데 많은 시간을 할당할 수 없는 경우 웹 연결 서버에 대한 보안 업데이트 계획은 무엇입니까? 물론 보안상의 이유로 LAMP 스택을 정기적으로 업데이트하고 싶지만 Solr를 손상시키기 위한 최신 Java 패치나 명확하지 않은 방식으로 스크립트를 손상시키기 위한 최신 PHP 패치가 필요하지 않습니다. 나는 PHP 포인트 게시에 대해 조심해야 한다는 것을 알고 있지만 Java에 대해서는 그다지 확신이 없습니다. 현재 우리 서버는 Debian 기반(Ubuntu Server LTS)이지만 Yum의 롤백 기능으로 인해 Redhat 기반 서버(CentOS)로 전환을 고려하고 있습니다.
내 걱정은 근거 없는 걸까? 이 회사는 소규모 회사이고 이제 막 네 번째 직원을 고용했습니다. 그래서 소프트웨어 개발자로서의 책임 외에도 공용 네트워크 서버를 포함하여 점점 더 많은 양의 하드웨어를 유지 관리하는 일도 담당하게 되었습니다. 웹 서버에는 민감한 데이터가 없으며 취약점을 악용하여 발생할 수 있는 최악의 상황은 누군가가 우리 제품이기도 한 웹 사이트를 손상시키는 것입니다(공용 API를 통한 SaaS).
답변1
"기업용" Linux 배포판을 선택하고 작동에 필요한 패키지만 설치하십시오(추가 패키지는 취약한 표면이 추가됨을 의미함).아니요엄격하게 요구되지 않는 한 "비공식 패키지"를 설치합니다(그런 다음 안정성과 보안 문제에 대한 업스트림의 대응성을 신중하게 고려하고 배포 패키지를 짓밟지 않겠다는 기록/약속을 가지고 있어야 합니다). 주의해서 구성합니다(로컬 방화벽 규칙, 모든 로컬 구성). . 필요한 경우 로컬 계정을 생성하고 안전한 비밀번호를 제공하세요. root기계에서는 가능한 한 적게 사용하십시오. 선택한 사용자에 대해 비밀번호 없는 SSH를 설정합니다. SELinux를 끄라는 인터넷의 많은 제안을 따르지 마십시오. SELinux는 더 많은 보안을 제공할 수 있습니다. 패키지가 SElinux에서 작동하지 않으면 패키지가 깨졌으므로 사용해서는 안 됩니다.
배포판의 패키지 업데이트 게시판을 구독하고 최소한 가능한 한 빨리("한 달에 한 번"이 아니라 최소한 매일) 보안 업데이트를 확인하세요. 보고 있다저수온망보안 페이지를 정기적으로 확인하세요.
머신이 어떤 서비스를 제공하든 관계없이 배포판에서 제공하는 서비스 중에서 이 작업을 수행할 패키지를 신중하게 선택하십시오. 전체적으로 가장 좋은 것은 아마도 사용하기가 더 어려울 것입니다. 소프트웨어 선택/평가에 대한 몇 가지 생각은 다음과 같습니다.여기.
제공된 서비스에 대한 "모범 사례", 특히 설치 항목에 대한 구성 권장 사항을 찾아보세요. 온라인 문서가 완전하고 명확하며 검색 가능한지 확인하세요. 오류를 보고하는 방법이 있는지 확인하고 무작위로 선택된 오류를 확인하고 응답 속도를 확인하세요. 온라인 Q&A 사이트, FAQ, 메일링 리스트를 찾아보세요(문제가 발생하여 누구에게 물어봐야 할지 알고 싶은 경우).
포괄적인 백업 계획을 설계하면 조만간~ 할 것이다그것에 의존해야합니다. 설치를 기록하면(또는 자동 설치를 설정하고 최신 상태로 유지하는 것이 더 좋습니다) 컴퓨터가 바람직하지 않은 방식으로 작동할 수 있습니다. "오래된" 백업도 가지고 있는지 확인하십시오(일부 악당이 시스템을 장악할 수도 있으며 몇 달 후에 알게 될 것입니다...).
원하는 설정을 전문으로 하는 괴짜를 고용하는 것을 고려해 보십시오. (a) 해당 장치를 쉽게 사용할 수 있는지, (b) 대부분의 상황에서 편안하게 사용할 수 있도록 설정에 대해 충분히 알고 있는지, (c)) 통과했는지 확인하십시오. 버스 테스트(즉, 버스에 치일 경우를 대비해 주변에 다른 사람을 두십시오).
개인용으로 동일한 운영 체제를 사용하는 시스템을 설정하는 것은 위기 상황에서 문제의 시스템에 대해 잘 알고 있어야 하는 경우(또는 백업 시스템을 보유하고 있는 경우에도 매우 유용할 수 있습니다 ;-). 놀라움을 최소화하기 위해 작업을 정리하는 데 시간을 들이지 않는 한 "내 시간의 95%만 소요"와 같은 아르바이트가 될 것입니다(그렇지 않으면 연중무휴 24시간 소방대원으로 알려지게 될 것입니다).
개인적으로 사용하겠습니다레드햇 엔터프라이즈 리눅스또는 유사한 클론중앙 운영 체제, 아마도 다음과 같이 보완될 것입니다.에펠. 하지만 그건 바로 나입니다. 95년쯤부터 Red Hat을 사용했고 최근에는페도라 모자팬.
답변2
먼저 시스템을 핵심 요소만 제거하고필요하지 않은 것은 모두 삭제하세요.. Java가 필요하지 않으면 제거하고 Perl이 필요하지 않으면 제거하십시오. 그렇다면 분명한 것은 남은 모든 것을 업데이트하는 것입니다. Debian/Ubuntu, RH/CentOS/Fedora, SLES/openSUSE 등과 같은 고정 버전 배포판에 대한 업데이트는 문제가 되는 패키지를 이상한 방식으로 남용하지 않는 한 아무 것도 깨뜨릴 가능성이 없습니다.
PHP 업데이트로 인해 사이트가 손상되는 것이 걱정된다면(내가 올바르게 이해했다면 귀하의 제품입니다) 제품을 수정하십시오(제품이 아닌 경우 스크립트를 수정하십시오). 그렇지 않으면 문제가 발생합니다.
네트워크를 손상시키는 것은 확실히 최악의 일은 아닙니다. 일단 시스템이 하이재킹되면 불쾌한 콘텐츠를 공개적으로 표시하는 것보다 더 미묘하고 위험한 방식으로 남용될 수 있습니다(아마도 그렇게 될 것입니다).