CentOS 7-Sicherheitsupdates

Question 1

Sie geben Folgendes an:

Ich habe ein sauberes, standardmäßiges CentOS 7 installiert und möchte nun (nach einem Sicherheitsscan) Pakete aktualisieren, um bekannte Sicherheitsprobleme zu beheben (sie haben alle CVE-Nummern und einige sind bereits einige Zeit alt).

Keine Panik! Ihre CentOS 7-Installation ist einwandfrei.

Die Realität ist, dass CentOS 7 vollkommen in Ordnung ist und viele der Dinge, von denen Sie glauben, dass sie „ungepatcht“ sind,zurückportiertDas bedeutet, dass das CentOS-Team die erforderlichen Patches zurückportiert, um Pakete in CentOS 7 auf allen Ebenen genauso stabil und sicher zu machen wie neuere Versionen der Paketsoftware, auch wenn Sie über ältere Hauptversionen von Elementen wie PHP verfügen.

Auch als Webentwickler bin ich definitivnichtmöchte auf dem neuesten Stand einer neuen PHP-Version sein. Ich möchte die Dinge auf einer bekannten, unterstützten Version so stabil wie möglich halten. Und PHP 5.4 ist vollkommen in Ordnung. Viele Websites verwenden aus denselben Gründen immer noch PHP 5.3 (zurückportiert). Der Wechsel auf eine Hauptversion von PHP wird mehr Dinge kaputt machen, als Ihre Installation dadurch jemals „sicherer“ machen wird.

Die „zweifelhafte“ Natur von Website-Sicherheitsscans.

Sie erwähnen aber auch einen „Sicherheitsscan“. Was meinen Sie mit „Sicherheitsscan“? Einige webbasierte Sicherheitsscan-Tools listen einfach alle Fehler auf, die sie finden können, und geben panische allgemeine Warnungen aus. Viele dieser panischen Warnungen basieren nur auf der Anzeige von Hauptversionen wie PHP 5.4 und sonst nicht viel.

Und der Grund, warum diese Website-Scans so reagieren, ist die SchaffungFUD (Angst, Unsicherheit und Zweifel)bei denen, die sie nutzen, damit die Sponsoren eines solchen Dienstes beispielsweise einem in Panik geratenen Benutzer einen Online-Dienst oder ein Beratungsprodukt verkaufen können. Viele dieser Scans sind bis zu einem gewissen Grad nützlich, aber Sie sollten sie mit einemstarkes Körnchen Salzund sollteimmer recherchierendie Ansprüche weiter, wenn Sie etwas beunruhigt.

Das größere Problem ist meiner Meinung nach, dass Ihr Server irgendwieOffenlegung der genauen PHP-Versionder Welt. Und das ist kein CentOS-Problem. Das ist einServerhärtungsproblemDas bedeutet, dass gut geschützte Server niemals die genaue Version der verwendeten Kernsoftware preisgeben, um zu verhindern, dass jemand auf die Idee kommt, dass Fehler vorliegen.

Mein Rat? Wenn Sie einen durchgeführt haben yum updateund es heißt, dass Sie alles auf dem neuesten Stand sind, dann sind Sie alles auf dem neuesten Stand. Aber wie ich schon sagte, ist die Serverhärtung ein 100 % anderes Problem, das vorgefertigte Sicherheitsscans nie zu lösen scheinen. Aber so können Sie dieses PHP-spezifische Problem lösen. Und der Vorgang ist ziemlich einfach.

Härten von PHP durch Deaktivieren `expose_php`.

Suchen Sie zunächst Ihre PHP-Konfigurationsdatei ( php.ini) und öffnen Sie sie wie folgt; in diesem Beispiel wird nanoein Pfad für die Datei unter Ubuntu verwendet, aber das Konzept ist dasselbe:

sudo nano /etc/php5/apache2/php.ini

Suchen Sie nun in dieser Datei nach der Zeile, die konfiguriert expose_php.die offizielle PHP-Dokumentation, expose_phpwird wie folgt beschrieben:

Gibt der Öffentlichkeit bekannt, dass PHP auf dem Server installiert ist, einschließlich der PHP-Version im HTTP-Header (z. B. X-Powered-By: PHP/5.3.7).

Ich wette, der Sicherheitsscan hat nur den X-Powered-ByHeader gesehen und reagiert. Aber jeder, der echte Sicherheitsadministration betreibt, kann Ihnen sagen, dass das Problem nicht die Versionsnummer selbst ist, sondern die Tatsache, dassder Header ist überhaupt nicht sichtbarÄndern Sie diesen Wert einfach expose_phpwie folgt:

expose_php = Off

Starten Sie Apache dann neu und versuchen Sie den Sicherheitsscan erneut. Sie können die Header Ihres Servers sogar von der Befehlszeile aus wie curlfolgt überprüfen:

curl -I example.com

Die zurückgegebenen Header sollten nunnichtenthält Informationen zur PHP-Versionsnummer.

Härten Sie Apache, während Sie dabei sind.

Wenn Sie sich Sorgen um die Sicherheit machen, empfehle ich Ihnen, auch Apache abzusichern. Öffnen Sie einfach diese Apache-Konfigurationsdatei. Sie basiert ebenfalls auf Ubuntu, aber Sie finden das Äquivalent in CentOS:

sudo nano /etc/apache2/conf.d/security

Suchen Sie dann ServerTokensnach „Produktion“ und stellen Sie es wie folgt ein:

ServerTokens Prod

Suchen und deaktivieren Sie es anschließend ServerSignature:

ServerSignature Off

Suchen und deaktivieren Sie es abschließend TraceEnableebenfalls:

TraceEnable Off

Starten Sie Apache neu und überprüfen Sie die Header erneut – oder führen Sie einen Sicherheitsscan des Servers durch. Sie sollten jetzt in einer besseren Verfassung sein.

Das Grundkonzept dieser einfachen Härtungsideen besteht darin, dass eine Website, die mit einer Standardkonfiguration eingerichtet ist, die interne Daten der Welt preisgibt, eine Nachricht an Malware-Bots sendet, dass sich der Server erstens in einem Standardzustand befindet und zweitens „ältere“ Software auf dem Server läuft. Ein nicht gehärteter Server wie dieser wäre daher ein gutes Ziel für einen Angriff. Indem Sie Details in zurückgegebenen Headern verschleiern, machen Sie Ihren Server zu einem weniger attraktiven Ziel, da ein Skript nicht erkennen kann, wofür Sie anfällig sein könnten.

Answer

Sie geben Folgendes an:

Ich habe ein sauberes, standardmäßiges CentOS 7 installiert und möchte nun (nach einem Sicherheitsscan) Pakete aktualisieren, um bekannte Sicherheitsprobleme zu beheben (sie haben alle CVE-Nummern und einige sind bereits einige Zeit alt).

Keine Panik! Ihre CentOS 7-Installation ist einwandfrei.

Die Realität ist, dass CentOS 7 vollkommen in Ordnung ist und viele der Dinge, von denen Sie glauben, dass sie „ungepatcht“ sind,zurückportiertDas bedeutet, dass das CentOS-Team die erforderlichen Patches zurückportiert, um Pakete in CentOS 7 auf allen Ebenen genauso stabil und sicher zu machen wie neuere Versionen der Paketsoftware, auch wenn Sie über ältere Hauptversionen von Elementen wie PHP verfügen.

Auch als Webentwickler bin ich definitivnichtmöchte auf dem neuesten Stand einer neuen PHP-Version sein. Ich möchte die Dinge auf einer bekannten, unterstützten Version so stabil wie möglich halten. Und PHP 5.4 ist vollkommen in Ordnung. Viele Websites verwenden aus denselben Gründen immer noch PHP 5.3 (zurückportiert). Der Wechsel auf eine Hauptversion von PHP wird mehr Dinge kaputt machen, als Ihre Installation dadurch jemals „sicherer“ machen wird.

Die „zweifelhafte“ Natur von Website-Sicherheitsscans.

Sie erwähnen aber auch einen „Sicherheitsscan“. Was meinen Sie mit „Sicherheitsscan“? Einige webbasierte Sicherheitsscan-Tools listen einfach alle Fehler auf, die sie finden können, und geben panische allgemeine Warnungen aus. Viele dieser panischen Warnungen basieren nur auf der Anzeige von Hauptversionen wie PHP 5.4 und sonst nicht viel.

Und der Grund, warum diese Website-Scans so reagieren, ist die SchaffungFUD (Angst, Unsicherheit und Zweifel)bei denen, die sie nutzen, damit die Sponsoren eines solchen Dienstes beispielsweise einem in Panik geratenen Benutzer einen Online-Dienst oder ein Beratungsprodukt verkaufen können. Viele dieser Scans sind bis zu einem gewissen Grad nützlich, aber Sie sollten sie mit einemstarkes Körnchen Salzund sollteimmer recherchierendie Ansprüche weiter, wenn Sie etwas beunruhigt.

Das größere Problem ist meiner Meinung nach, dass Ihr Server irgendwieOffenlegung der genauen PHP-Versionder Welt. Und das ist kein CentOS-Problem. Das ist einServerhärtungsproblemDas bedeutet, dass gut geschützte Server niemals die genaue Version der verwendeten Kernsoftware preisgeben, um zu verhindern, dass jemand auf die Idee kommt, dass Fehler vorliegen.

Mein Rat? Wenn Sie einen durchgeführt haben yum updateund es heißt, dass Sie alles auf dem neuesten Stand sind, dann sind Sie alles auf dem neuesten Stand. Aber wie ich schon sagte, ist die Serverhärtung ein 100 % anderes Problem, das vorgefertigte Sicherheitsscans nie zu lösen scheinen. Aber so können Sie dieses PHP-spezifische Problem lösen. Und der Vorgang ist ziemlich einfach.

Härten von PHP durch Deaktivieren `expose_php`.

Suchen Sie zunächst Ihre PHP-Konfigurationsdatei ( php.ini) und öffnen Sie sie wie folgt; in diesem Beispiel wird nanoein Pfad für die Datei unter Ubuntu verwendet, aber das Konzept ist dasselbe:

sudo nano /etc/php5/apache2/php.ini

Suchen Sie nun in dieser Datei nach der Zeile, die konfiguriert expose_php.die offizielle PHP-Dokumentation, expose_phpwird wie folgt beschrieben:

Gibt der Öffentlichkeit bekannt, dass PHP auf dem Server installiert ist, einschließlich der PHP-Version im HTTP-Header (z. B. X-Powered-By: PHP/5.3.7).

Ich wette, der Sicherheitsscan hat nur den X-Powered-ByHeader gesehen und reagiert. Aber jeder, der echte Sicherheitsadministration betreibt, kann Ihnen sagen, dass das Problem nicht die Versionsnummer selbst ist, sondern die Tatsache, dassder Header ist überhaupt nicht sichtbarÄndern Sie diesen Wert einfach expose_phpwie folgt:

expose_php = Off

Starten Sie Apache dann neu und versuchen Sie den Sicherheitsscan erneut. Sie können die Header Ihres Servers sogar von der Befehlszeile aus wie curlfolgt überprüfen:

curl -I example.com

Die zurückgegebenen Header sollten nunnichtenthält Informationen zur PHP-Versionsnummer.

Härten Sie Apache, während Sie dabei sind.

Wenn Sie sich Sorgen um die Sicherheit machen, empfehle ich Ihnen, auch Apache abzusichern. Öffnen Sie einfach diese Apache-Konfigurationsdatei. Sie basiert ebenfalls auf Ubuntu, aber Sie finden das Äquivalent in CentOS:

sudo nano /etc/apache2/conf.d/security

Suchen Sie dann ServerTokensnach „Produktion“ und stellen Sie es wie folgt ein:

ServerTokens Prod

Suchen und deaktivieren Sie es anschließend ServerSignature:

ServerSignature Off

Suchen und deaktivieren Sie es abschließend TraceEnableebenfalls:

TraceEnable Off

Starten Sie Apache neu und überprüfen Sie die Header erneut – oder führen Sie einen Sicherheitsscan des Servers durch. Sie sollten jetzt in einer besseren Verfassung sein.

Das Grundkonzept dieser einfachen Härtungsideen besteht darin, dass eine Website, die mit einer Standardkonfiguration eingerichtet ist, die interne Daten der Welt preisgibt, eine Nachricht an Malware-Bots sendet, dass sich der Server erstens in einem Standardzustand befindet und zweitens „ältere“ Software auf dem Server läuft. Ein nicht gehärteter Server wie dieser wäre daher ein gutes Ziel für einen Angriff. Indem Sie Details in zurückgegebenen Headern verschleiern, machen Sie Ihren Server zu einem weniger attraktiven Ziel, da ein Skript nicht erkennen kann, wofür Sie anfällig sein könnten.

Question 2

Was lässt Sie glauben, dass CentOS sich nicht um diese Sicherheitsprobleme kümmert? Redhat (und damit auch CentOS) portiert Änderungen zurück, daher ist es durchaus wahrscheinlich, dass sie bekannte Sicherheitsprobleme für Ihre Probleme zurückportiert haben.

Was PHP betrifft, können Sie Folgendes hinzufügen:Webtactic-Repositoryum PHP5.6 zu erhalten.

Answer

Was lässt Sie glauben, dass CentOS sich nicht um diese Sicherheitsprobleme kümmert? Redhat (und damit auch CentOS) portiert Änderungen zurück, daher ist es durchaus wahrscheinlich, dass sie bekannte Sicherheitsprobleme für Ihre Probleme zurückportiert haben.

Was PHP betrifft, können Sie Folgendes hinzufügen:Webtactic-Repositoryum PHP5.6 zu erhalten.

CentOS 7-Sicherheitsupdates

Antwort1

Keine Panik! Ihre CentOS 7-Installation ist einwandfrei.

Die „zweifelhafte“ Natur von Website-Sicherheitsscans.

Härten von PHP durch Deaktivieren `expose_php`.

Härten Sie Apache, während Sie dabei sind.

Antwort2

verwandte Informationen

Antwort1

Keine Panik! Ihre CentOS 7-Installation ist einwandfrei.

Die „zweifelhafte“ Natur von Website-Sicherheitsscans.

Härten von PHP durch Deaktivieren expose_php.

Härten Sie Apache, während Sie dabei sind.

Antwort2

verwandte Informationen

Härten von PHP durch Deaktivieren `expose_php`.