CentOS 7 セキュリティアップデート

Question 1

あなたはこう述べています:

クリーンな標準 CentOS 7 をインストールしており、セキュリティスキャン後にパッケージを更新して既知のセキュリティ問題を修正したいと考えています (すべてのパッケージに CVE 番号があり、一部はすでに古いものです)。

慌てないでください。CentOS 7 のインストールは問題ありません。

現実には、CentOS 7はまったく問題なく、パッチが当てられていないと思われる項目の多くはバックポートつまり、PHP などのアイテムのメジャーバージョンが古い場合でも、CentOS チームは、CentOS 7 のパッケージを、パッケージ化されたソフトウェアの新しいリリースと同様にあらゆるレベルで安定かつ安全にするために必要なパッチをバックポートします。

また、ウェブ開発者として、私は間違いなくしないでくださいPHP の新バージョンを「最先端」にしておきたい。既知のサポートされているバージョンで安定させておきたい。PHP 5.4 ではまったく問題ありません。多くのサイトでは、同じ理由で、依然として PHP 5.3 (バックポート) を使用しています。PHP のメジャーバージョンにアップグレードすると、インストールの「セキュリティ」が向上するよりも、多くの問題が生じます。

ウェブサイトのセキュリティスキャンの「不確実性」。

しかし、あなたは「セキュリティスキャン」についても言及しています。「セキュリティスキャン」とはどういう意味ですか? 一部の Web ベースのセキュリティスキャンツールは、見つかったすべての欠陥をリストし、パニックに陥るような一般的な警告を吐き出します。これらのパニックに陥るような警告の多くは、PHP 5.4 などのメジャーバージョンが表示されることだけに基づいており、それ以外はあまりありません。

そして、これらのウェブサイトスキャンがこのように反応する理由は、FUD（恐怖、不確実性、疑念）こうしたスキャンは、例えば、パニックに陥ったユーザーにオンラインサービスやコンサルティング関連の商品を販売するために、利用者に利用される。こうしたスキャンの多くはある程度は役に立つが、慎重に扱うべきである。強い疑念そしてすべきだ常に調査する何か気になる点があれば、クレームをさらに詳しくお知らせください。

私にとってもっと大きな問題は、どういうわけかあなたのサーバーが正確なPHPバージョンを公開するこれはCentOSの問題ではありません。サーバー強化の問題つまり、十分に保護されたサーバーは、欠陥が存在すると思われないように、使用されているコアソフトウェアの正確なバージョンを決して公開しません。

私のアドバイスは？を実行してyum update、すべて最新であると表示されたら、すべて最新です。しかし、前述したように、サーバーの強化は、既成のセキュリティスキャンでは決して対処できない、まったく別の問題です。しかし、これが PHP 固有の問題に対処する方法です。そして、プロセスは非常に簡単です。

を無効にして PHP を強化します`expose_php`。

まず、PHP 設定ファイル ( php.ini) を見つけて、次のように開きます。この例では、nanoUbuntu 上のファイルへのパスを使用していますが、概念は同じです。

sudo nano /etc/php5/apache2/php.ini

次に、そのファイルでを構成する行を検索しますexpose_php。公式PHPドキュメントは、expose_php次のように説明されます。

サーバーに PHP がインストールされていることを公開します。HTTP ヘッダー内に PHP のバージョンが含まれます (例: X-Powered-By: PHP/5.3.7)。

だから、セキュリティスキャンはX-Powered-Byヘッダーを見て反応したに違いない。しかし、実際のセキュリティ管理を行っている人なら誰でも、問題はバージョン番号そのものではなく、ヘッダーはまったく露出していないしたがって、そのexpose_php値を次のように変更します。

expose_php = Off

curlそして、Apache を再起動して、セキュリティスキャンを再度実行します。次のようにして、コマンドラインからサーバーのヘッダーを確認することもできます。

curl -I example.com

返されるヘッダーはないPHP のバージョン番号情報を含みます。

ついでに Apache も強化しておきましょう。

セキュリティが懸念事項である限り、ついでに Apache も強化することをお勧めします。この Apache 構成ファイルを開いてください。これも Ubuntu に基づいていますが、CentOS で同等のものを見つけてください。

sudo nano /etc/apache2/conf.d/security

次に、ServerTokens次のように「production」を見つけて設定します。

ServerTokens Prod

その後、ServerSignatureそれを見つけて無効にします。

ServerSignature Off

最後に、TraceEnableこれも探して無効にします。

TraceEnable Off

Apache を再起動してヘッダーを確認するか、サーバーのセキュリティスキャンを再度実行します。これで状態は改善されるはずです。

これらのシンプルな強化アイデアの基本概念は、デフォルト設定でセットアップされ、内部を世界に公開している Web サイトが、マルウェアボットに、1. サーバーがデフォルト状態であること、2. サーバーが「古い」ソフトウェアを実行していることを伝えるメッセージを送信することです。したがって、このような強化されていないサーバーは、攻撃の格好のターゲットになります。返されるヘッダーの詳細を難読化することで、スクリプトが脆弱な点を判断できなくなるため、サーバーは攻撃対象として望ましくなくなります。

Answer

あなたはこう述べています:

クリーンな標準 CentOS 7 をインストールしており、セキュリティスキャン後にパッケージを更新して既知のセキュリティ問題を修正したいと考えています (すべてのパッケージに CVE 番号があり、一部はすでに古いものです)。

慌てないでください。CentOS 7 のインストールは問題ありません。

現実には、CentOS 7はまったく問題なく、パッチが当てられていないと思われる項目の多くはバックポートつまり、PHP などのアイテムのメジャーバージョンが古い場合でも、CentOS チームは、CentOS 7 のパッケージを、パッケージ化されたソフトウェアの新しいリリースと同様にあらゆるレベルで安定かつ安全にするために必要なパッチをバックポートします。

また、ウェブ開発者として、私は間違いなくしないでくださいPHP の新バージョンを「最先端」にしておきたい。既知のサポートされているバージョンで安定させておきたい。PHP 5.4 ではまったく問題ありません。多くのサイトでは、同じ理由で、依然として PHP 5.3 (バックポート) を使用しています。PHP のメジャーバージョンにアップグレードすると、インストールの「セキュリティ」が向上するよりも、多くの問題が生じます。

ウェブサイトのセキュリティスキャンの「不確実性」。

しかし、あなたは「セキュリティスキャン」についても言及しています。「セキュリティスキャン」とはどういう意味ですか? 一部の Web ベースのセキュリティスキャンツールは、見つかったすべての欠陥をリストし、パニックに陥るような一般的な警告を吐き出します。これらのパニックに陥るような警告の多くは、PHP 5.4 などのメジャーバージョンが表示されることだけに基づいており、それ以外はあまりありません。

そして、これらのウェブサイトスキャンがこのように反応する理由は、FUD（恐怖、不確実性、疑念）こうしたスキャンは、例えば、パニックに陥ったユーザーにオンラインサービスやコンサルティング関連の商品を販売するために、利用者に利用される。こうしたスキャンの多くはある程度は役に立つが、慎重に扱うべきである。強い疑念そしてすべきだ常に調査する何か気になる点があれば、クレームをさらに詳しくお知らせください。

私にとってもっと大きな問題は、どういうわけかあなたのサーバーが正確なPHPバージョンを公開するこれはCentOSの問題ではありません。サーバー強化の問題つまり、十分に保護されたサーバーは、欠陥が存在すると思われないように、使用されているコアソフトウェアの正確なバージョンを決して公開しません。

私のアドバイスは？を実行してyum update、すべて最新であると表示されたら、すべて最新です。しかし、前述したように、サーバーの強化は、既成のセキュリティスキャンでは決して対処できない、まったく別の問題です。しかし、これが PHP 固有の問題に対処する方法です。そして、プロセスは非常に簡単です。

を無効にして PHP を強化します`expose_php`。

まず、PHP 設定ファイル ( php.ini) を見つけて、次のように開きます。この例では、nanoUbuntu 上のファイルへのパスを使用していますが、概念は同じです。

sudo nano /etc/php5/apache2/php.ini

次に、そのファイルでを構成する行を検索しますexpose_php。公式PHPドキュメントは、expose_php次のように説明されます。

サーバーに PHP がインストールされていることを公開します。HTTP ヘッダー内に PHP のバージョンが含まれます (例: X-Powered-By: PHP/5.3.7)。

だから、セキュリティスキャンはX-Powered-Byヘッダーを見て反応したに違いない。しかし、実際のセキュリティ管理を行っている人なら誰でも、問題はバージョン番号そのものではなく、ヘッダーはまったく露出していないしたがって、そのexpose_php値を次のように変更します。

expose_php = Off

curlそして、Apache を再起動して、セキュリティスキャンを再度実行します。次のようにして、コマンドラインからサーバーのヘッダーを確認することもできます。

curl -I example.com

返されるヘッダーはないPHP のバージョン番号情報を含みます。

ついでに Apache も強化しておきましょう。

セキュリティが懸念事項である限り、ついでに Apache も強化することをお勧めします。この Apache 構成ファイルを開いてください。これも Ubuntu に基づいていますが、CentOS で同等のものを見つけてください。

sudo nano /etc/apache2/conf.d/security

次に、ServerTokens次のように「production」を見つけて設定します。

ServerTokens Prod

その後、ServerSignatureそれを見つけて無効にします。

ServerSignature Off

最後に、TraceEnableこれも探して無効にします。

TraceEnable Off

Apache を再起動してヘッダーを確認するか、サーバーのセキュリティスキャンを再度実行します。これで状態は改善されるはずです。

これらのシンプルな強化アイデアの基本概念は、デフォルト設定でセットアップされ、内部を世界に公開している Web サイトが、マルウェアボットに、1. サーバーがデフォルト状態であること、2. サーバーが「古い」ソフトウェアを実行していることを伝えるメッセージを送信することです。したがって、このような強化されていないサーバーは、攻撃の格好のターゲットになります。返されるヘッダーの詳細を難読化することで、スクリプトが脆弱な点を判断できなくなるため、サーバーは攻撃対象として望ましくなくなります。

Question 2

CentOS がこれらのセキュリティ問題を気にしていないとなぜ思うのですか? Redhat (および CentOS) は変更をバックポートしているので、既知のセキュリティ問題がバックポートされている可能性は十分にあります。

PHPに関しては、Webtactic リポジトリPHP5.6 を入手します。

Answer

CentOS がこれらのセキュリティ問題を気にしていないとなぜ思うのですか? Redhat (および CentOS) は変更をバックポートしているので、既知のセキュリティ問題がバックポートされている可能性は十分にあります。

PHPに関しては、Webtactic リポジトリPHP5.6 を入手します。

CentOS 7 セキュリティアップデート

答え1

慌てないでください。CentOS 7 のインストールは問題ありません。

ウェブサイトのセキュリティスキャンの「不確実性」。

を無効にして PHP を強化します`expose_php`。

ついでに Apache も強化しておきましょう。

答え2

関連情報

答え1

慌てないでください。CentOS 7 のインストールは問題ありません。

ウェブサイトのセキュリティスキャンの「不確実性」。

を無効にして PHP を強化しますexpose_php。

ついでに Apache も強化しておきましょう。

答え2

関連情報

を無効にして PHP を強化します`expose_php`。