Question Est-il sécurisé d'exécuter des distributions Linux plus anciennes comme CentOS 4.4?


Il est évidemment préférable de lancer une distribution à jour, ou du moins une qui reçoit toujours des mises à jour de sécurité. Si un logiciel particulier nécessite une ancienne distribution telle que CentOS 4.4 (mandaté par le fournisseur pour continuer à bénéficier du support), cela devrait-il constituer un problème de sécurité majeur pour nous, en supposant que le serveur lui-même se trouve derrière un pare-feu bien sécurisé?


6
2018-04-27 21:40


origine


Que faire si vous ne dites simplement pas au fournisseur que vous n'utilisez plus CentOS 4.4? Avez-vous essayé d’exécuter le logiciel sur une distribution plus récente? Encore une fois, s’ils ne sont pas en mesure de prendre en charge leur logiciel fonctionnant sous quelque chose de plus récent qu’un système d’exploitation EOL'd vieux de 5 ans et demi, il est peut-être temps de commencer à chercher un autre fournisseur capable de fonctionner correctement. - rob
De quel vendeur s'agit-il? J'ai besoin de savoir pour pouvoir les éviter comme la peste. - Joel E Salas
D'accord, vous imaginez que le logiciel nécessite uniquement des versions spécifiques de certaines bibliothèques et que le fournisseur ne fait que paresser en ne les spécifiant pas correctement et / ou en ne testant pas le logiciel avec des versions plus récentes .. Je suis d'accord avec Joel. Nom et honte: P - naught101
Le fournisseur est Fonality et le produit est Trixbox Pro. - Eric


Réponses:


Cela dépend du logiciel qui sera exécuté sur cette boîte, s'il sera exposé à d'autres parties de votre réseau, à Internet, etc.

CentOS 4 a été fêté en février. Il n'y aura plus de mises à jour de sécurité pour cela, mais il y aura beaucoup de vulnérabilités de sécurité. Ne l'utilisez pas sauf si vous êtes prêt à effectuer le travail requis pour maintenir le système à jour. D'une manière générale, la sécurité d'un système moderne comme CentOS 5 ou CentOS 6 sera meilleure que CentOS 4.

Si vous conservez ce système non corrigé sur votre réseau, un pirate risque de compromettre ce système au sein de votre réseau et de l'utiliser comme tremplin pour connecter d'autres systèmes sur votre réseau.

le CentOS 4 EOL a été annoncé il y a longtemps afin que les fournisseurs aient le temps de mettre à jour leur logiciel. Votre fournisseur a omis de le faire, ce qui remet en question sa compétence. Ils ont eu tout le temps nécessaire pour migrer de CentOS 4 à CentOS 5, et CentOS 5 recevoir des mises à jour de sécurité jusqu'en 2017. Votre fournisseur aurait pu se sortir de cette situation délicate il y a des années.

CentOS 4 a plus de 7 ans. CentOS 6 a été libéré au cours de il y a 6 mois.

Si vous ne pouvez absolument pas quitter CentOS 4, notez que:

  • CentOS 4.4 est très ancien et contient un certain nombre de vulnérabilités de sécurité. Au moins, corrigez-le pour qu'il soit CentOS 4.9. Passez en revue les différents bases de données de vulnérabilités de sécurité pour votre logiciel, corrigez si nécessaire ou atténuez les risques.
  • Soyez disposé à maintenir le système vous-même.
  • RHEL offre une option payante pour aider à maintenir le logiciel à jour. Voici ce que dit l'annonce CentOS 4 EOL:

    Pour les utilisateurs qui ne peuvent pas migrer hors de la base de code EL 4 avant sa date de fin de vie, le fournisseur en amont a l'intention de proposer une programme d'extension optionnel. Le projet CentOS vous recommande contactez leur équipe de vente pour obtenir un devis pour leur service étendu si vous ne pouvez pas passer à une base de code plus récente avant le 29 février 2012.


11
2018-04-27 22:03



Vous feriez mieux de solliciter des devis auprès de quelqu'un qui peut vous aider à migrer vers une version plus récente de votre système d'exploitation et rendre le processus moins pénible pour la prochaine fois, plutôt que de payer un fournisseur pour continuer à prendre en charge votre version obsolète. C'est juste pour éviter l'inévitable, parce que vous allez migrer ... - aseq
@aseq: votre commentaire ignore complètement le contexte de l'OP ... - naught101


Vous êtes entre le marteau et l'enclume.

Mon avis peut ne pas être populaire, mais ...

Cette version de CentOS étant en fin de vie, aucune nouvelle vulnérabilité ne sera corrigée.

MAIS si vous souhaitez obtenir l'assistance de votre fournisseur, vous devez exécuter ce logiciel non sécurisé.

ALORS

A) Est-ce sécurisé? Cela dépend de ce que vous utilisez et de qui a accès. Je dirais que si vous n’exécutez RIEN, mais un accès abstrait à un logiciel particulier de votre entreprise et que vous n’avez aucun utilisateur interne perturbateur et que l’ordinateur n’est accessible que par la console en dehors de cette application, et l'application n'est pas exécutée en tant qu'utilisateur root, vous pouvez donc être quelque peu sécurisé. Ou "assez sécurisé". En termes pratiques.

B) Votre fournisseur est TRES irresponsable de ne pas mettre à jour le logiciel et de forcer la publication à un point tel que la plate-forme est en fin de vie ... et qu’ils n’ont toujours pas publié de nouvelle version.

C) Je surveillerais le toujours vivant! @ # #% De ce serveur. Exécuter furtivement contre elle à partir d'hôtes de confiance. Exécutez tripwire. Sauvegardes régulières. Les programmes malveillants analysent le plus à jour possible. Vous devez savoir si quelque chose altère cette machine lorsqu'un fichier ne doit pas être modifié.

Pour VOTRE cas décrit, la réponse est non, ce n'est pas sécurisé, mais vous pouvez prendre des mesures pour que le problème soit vérifié de manière raisonnable. Vous n'entrez pas dans ce qu'est cette application (je voudrais presque vous prier de le nommer si c'est quelque chose que d'autres pourraient rencontrer, car d'autres devraient éviter ce vendeur ...), mais mon approche serait essentiellement de le recommander, car vous devez laisser la porte de votre maison déverrouillée, vous devez installer autant de caméras de sécurité que vous enregistrez dans une installation distante comme preuve du vol éventuel d'un cambrioleur. sommes de contrôle, coupez tous les services inutiles, débarrassez-vous des compilateurs présents sur le serveur, etc., et faites pression sur votre fournisseur pour qu'il MISE À JOUR son logiciel ou qu'il prenne en charge une plate-forme plus à jour.

En pratique, vous ne pouvez que réduire le risque.


9
2018-04-27 22:31



+1 bon usage d'un cliché :-) - johnshen64
Je dirais que ce conseil est applicable indépendamment du fait qu’un produit soit EOL'd. - rob
Droite. +1 pour a). La sécurité n'est pas catégorique. - naught101


centos 4.4 est en fin de vie, ce qui signifie que si de futurs trous sont découverts, aucun correctif ne sera fourni. Il appartient toutefois à l’équipe de sécurité de votre entreprise de décider dans ce cas et de la conformité à laquelle vous êtes soumis. si le fournisseur ne peut pas fournir de chemin de mise à niveau, vous devrez peut-être chercher une solution de rechange si son maintien enfreignait une règle ou des exigences de conformité, en particulier. si vous êtes soumis au PCI.


3
2018-04-27 21:53