Actualizaciones de seguridad de CentOS 7

Question 1

Dices esto:

Tengo un CentOS 7 limpio y original instalado y ahora (después de un análisis de seguridad) quiero actualizar los paquetes para solucionar problemas de seguridad conocidos (todos tienen números CVE y algunos ya tienen algún tiempo).

¡No entrar en pánico! Su instalación de CentOS 7 está bien.

La realidad es que CentOS 7 está perfectamente bien y muchos de los elementos que usted cree que no están parcheados no lo están.respaldado. Es decir, si bien es posible que tenga versiones anteriores de elementos como PHP, el equipo de CentOS respalda los parches necesarios para que los paquetes en CentOS 7 sean tan estables y seguros en todos los niveles como las versiones más recientes de software empaquetado.

También como desarrollador web, definitivamentenoQuiere estar a la “vanguardia” de una nueva versión de PHP. Me gusta mantener las cosas estables en una versión conocida y compatible. Y PHP 5.4 está perfectamente bien. Muchos sitios todavía usan PHP 5.3 (portado nuevamente) por las mismas razones. Saltar a una versión principal de PHP dañará más cosas de las que “protegerá” más su instalación.

La naturaleza "dudosa" de los análisis de seguridad de los sitios web.

Pero también mencionas un "análisis de seguridad". ¿Qué quieres decir con "análisis de seguridad"? Algunas herramientas de escaneo de seguridad basadas en la web simplemente enumeran todas las fallas que pueden encontrar y arrojan alertas genéricas de pánico. Muchas de estas alertas de pánico simplemente se basan en versiones principales como PHP 5.4 que se muestran y no mucho más.

Y la razón por la que esos escaneos de sitios web reaccionan así es para crearFUD (miedo, incertidumbre y duda)en aquellos que los utilizan para que los patrocinadores de dicho servicio puedan, por ejemplo, vender a un usuario en pánico algún servicio en línea o producto relacionado con una consultoría. Muchas de esas exploraciones son útiles hasta cierto punto, pero debes realizarlas congrano de sal fuertey deberíasiempre investigalas reclamaciones más allá si algo le preocupa.

El problema más importante, si me preguntas, es que de alguna manera tu servidor estáexponiendo la versión exacta de PHPal mundo. Y eso no es un problema de CentOS. Eso es unproblema de endurecimiento del servidor. Lo que significa que los servidores bien protegidos nunca revelan la versión exacta del software principal que se utiliza para evitar que alguien piense que existe alguna falla.

¿Mi consejo? Si has hecho un yum updatey dice que estás todo al día, estás todo al día. Pero como dije, el fortalecimiento del servidor es un problema 100% diferente que los análisis de seguridad predefinidos nunca parecen abordar. Pero así es como puedes solucionar este problema específico de PHP. Y el proceso es bastante sencillo.

Fortalecer PHP deshabilitando `expose_php`.

Primero, busque su archivo de configuración PHP ( php.ini) y ábralo así; En este ejemplo se utiliza nanouna ruta para el archivo en Ubuntu, pero el concepto es el mismo:

sudo nano /etc/php5/apache2/php.ini

Ahora haga una búsqueda en ese archivo de la línea que configura expose_php. Mirando ala documentación oficial de PHP, expose_phpse describe de la siguiente manera:

Expone al mundo que PHP está instalado en el servidor, que incluye la versión de PHP dentro del encabezado HTTP (por ejemplo, X-Powered-By: PHP/5.3.7).

Entonces, sabiendo eso, apuesto a que el análisis de seguridad simplemente vio el X-Powered-Byencabezado y reaccionó. Pero cualquiera que se dedique a una verdadera administración de seguridad puede decirle que el problema no es el número de versión en sí, sino el hecho de queel encabezado está expuesto en absoluto. Entonces simplemente cambie ese expose_phpvalor de la siguiente manera:

expose_php = Off

Y luego reinicie Apache e intente ese análisis de seguridad nuevamente. Diablos, incluso puedes verificar los encabezados de tu servidor desde la línea de comando de curlesta manera:

curl -I example.com

Los encabezados devueltos ahora deberíannocontener cualquier información del número de versión de PHP.

Endurece Apache mientras lo haces.

Siempre que la seguridad sea una preocupación, recomendaría reforzar Apache también mientras lo hace. Simplemente abra este archivo de configuración de Apache; nuevamente basado en Ubuntu pero encuentra el equivalente en CentOS:

sudo nano /etc/apache2/conf.d/security

Luego ubique ServerTokensy configúrelo en "producción" así:

ServerTokens Prod

Después de eso, ubíquelo ServerSignaturey desactívelo:

ServerSignature Off

Finalmente, localízalo TraceEnabley desactívalo también:

TraceEnable Off

Reinicie Apache y verifique los encabezados (o realice un análisis de seguridad del servidor) nuevamente. Ahora deberías estar en mejor forma.

El concepto básico de estas ideas simples de refuerzo es un sitio web que está configurado con una configuración predeterminada que expone los componentes internos al mundo y envía un mensaje a los robots de malware de que, uno, el servidor está en un estado predeterminado y dos, el servidor se está ejecutando "más antiguo". software. Por lo tanto, un servidor no reforzado como ese sería un buen objetivo para un ataque. Al ofuscar los detalles en los encabezados devueltos, hace que su servidor sea un objetivo menos deseable, ya que no hay forma de que un script le indique a qué podría ser vulnerable.

Answer

Dices esto:

Tengo un CentOS 7 limpio y original instalado y ahora (después de un análisis de seguridad) quiero actualizar los paquetes para solucionar problemas de seguridad conocidos (todos tienen números CVE y algunos ya tienen algún tiempo).

¡No entrar en pánico! Su instalación de CentOS 7 está bien.

La realidad es que CentOS 7 está perfectamente bien y muchos de los elementos que usted cree que no están parcheados no lo están.respaldado. Es decir, si bien es posible que tenga versiones anteriores de elementos como PHP, el equipo de CentOS respalda los parches necesarios para que los paquetes en CentOS 7 sean tan estables y seguros en todos los niveles como las versiones más recientes de software empaquetado.

También como desarrollador web, definitivamentenoQuiere estar a la “vanguardia” de una nueva versión de PHP. Me gusta mantener las cosas estables en una versión conocida y compatible. Y PHP 5.4 está perfectamente bien. Muchos sitios todavía usan PHP 5.3 (portado nuevamente) por las mismas razones. Saltar a una versión principal de PHP dañará más cosas de las que “protegerá” más su instalación.

La naturaleza "dudosa" de los análisis de seguridad de los sitios web.

Pero también mencionas un "análisis de seguridad". ¿Qué quieres decir con "análisis de seguridad"? Algunas herramientas de escaneo de seguridad basadas en la web simplemente enumeran todas las fallas que pueden encontrar y arrojan alertas genéricas de pánico. Muchas de estas alertas de pánico simplemente se basan en versiones principales como PHP 5.4 que se muestran y no mucho más.

Y la razón por la que esos escaneos de sitios web reaccionan así es para crearFUD (miedo, incertidumbre y duda)en aquellos que los utilizan para que los patrocinadores de dicho servicio puedan, por ejemplo, vender a un usuario en pánico algún servicio en línea o producto relacionado con una consultoría. Muchas de esas exploraciones son útiles hasta cierto punto, pero debes realizarlas congrano de sal fuertey deberíasiempre investigalas reclamaciones más allá si algo le preocupa.

El problema más importante, si me preguntas, es que de alguna manera tu servidor estáexponiendo la versión exacta de PHPal mundo. Y eso no es un problema de CentOS. Eso es unproblema de endurecimiento del servidor. Lo que significa que los servidores bien protegidos nunca revelan la versión exacta del software principal que se utiliza para evitar que alguien piense que existe alguna falla.

¿Mi consejo? Si has hecho un yum updatey dice que estás todo al día, estás todo al día. Pero como dije, el fortalecimiento del servidor es un problema 100% diferente que los análisis de seguridad predefinidos nunca parecen abordar. Pero así es como puedes solucionar este problema específico de PHP. Y el proceso es bastante sencillo.

Fortalecer PHP deshabilitando `expose_php`.

Primero, busque su archivo de configuración PHP ( php.ini) y ábralo así; En este ejemplo se utiliza nanouna ruta para el archivo en Ubuntu, pero el concepto es el mismo:

sudo nano /etc/php5/apache2/php.ini

Ahora haga una búsqueda en ese archivo de la línea que configura expose_php. Mirando ala documentación oficial de PHP, expose_phpse describe de la siguiente manera:

Expone al mundo que PHP está instalado en el servidor, que incluye la versión de PHP dentro del encabezado HTTP (por ejemplo, X-Powered-By: PHP/5.3.7).

Entonces, sabiendo eso, apuesto a que el análisis de seguridad simplemente vio el X-Powered-Byencabezado y reaccionó. Pero cualquiera que se dedique a una verdadera administración de seguridad puede decirle que el problema no es el número de versión en sí, sino el hecho de queel encabezado está expuesto en absoluto. Entonces simplemente cambie ese expose_phpvalor de la siguiente manera:

expose_php = Off

Y luego reinicie Apache e intente ese análisis de seguridad nuevamente. Diablos, incluso puedes verificar los encabezados de tu servidor desde la línea de comando de curlesta manera:

curl -I example.com

Los encabezados devueltos ahora deberíannocontener cualquier información del número de versión de PHP.

Endurece Apache mientras lo haces.

Siempre que la seguridad sea una preocupación, recomendaría reforzar Apache también mientras lo hace. Simplemente abra este archivo de configuración de Apache; nuevamente basado en Ubuntu pero encuentra el equivalente en CentOS:

sudo nano /etc/apache2/conf.d/security

Luego ubique ServerTokensy configúrelo en "producción" así:

ServerTokens Prod

Después de eso, ubíquelo ServerSignaturey desactívelo:

ServerSignature Off

Finalmente, localízalo TraceEnabley desactívalo también:

TraceEnable Off

Reinicie Apache y verifique los encabezados (o realice un análisis de seguridad del servidor) nuevamente. Ahora deberías estar en mejor forma.

El concepto básico de estas ideas simples de refuerzo es un sitio web que está configurado con una configuración predeterminada que expone los componentes internos al mundo y envía un mensaje a los robots de malware de que, uno, el servidor está en un estado predeterminado y dos, el servidor se está ejecutando "más antiguo". software. Por lo tanto, un servidor no reforzado como ese sería un buen objetivo para un ataque. Al ofuscar los detalles en los encabezados devueltos, hace que su servidor sea un objetivo menos deseable, ya que no hay forma de que un script le indique a qué podría ser vulnerable.

Question 2

¿Qué te hace pensar que a CentOS no le importan esos problemas de seguridad? Los cambios en el backport de Redhat (y, por lo tanto, CentOS), por lo que es muy probable que hayan respaldado problemas de seguridad conocidos para sus problemas.

En lo que respecta a PHP, puedes agregar elRepositorio de táctica webpara obtener PHP5.6.

Answer

¿Qué te hace pensar que a CentOS no le importan esos problemas de seguridad? Los cambios en el backport de Redhat (y, por lo tanto, CentOS), por lo que es muy probable que hayan respaldado problemas de seguridad conocidos para sus problemas.

En lo que respecta a PHP, puedes agregar elRepositorio de táctica webpara obtener PHP5.6.

Actualizaciones de seguridad de CentOS 7

Respuesta1

¡No entrar en pánico! Su instalación de CentOS 7 está bien.

La naturaleza "dudosa" de los análisis de seguridad de los sitios web.

Fortalecer PHP deshabilitando `expose_php`.

Endurece Apache mientras lo haces.

Respuesta2

información relacionada

Respuesta1

¡No entrar en pánico! Su instalación de CentOS 7 está bien.

La naturaleza "dudosa" de los análisis de seguridad de los sitios web.

Fortalecer PHP deshabilitando expose_php.

Endurece Apache mientras lo haces.

Respuesta2

información relacionada

Fortalecer PHP deshabilitando `expose_php`.