El contenido de /proc/uptimelos informes:
48973211.37 1627573879.70
48973211 segundos significan que el servidor está activo durante 567 días sin reiniciarse.
Desde entonces se han aplicado muchas correcciones de seguridad importantes al kernel de Linux. Debido a que mi servidor nunca se reinició, debo faltar todos esos parches. Estoy en un gran proveedor de alojamiento web europeo. Pero no quiero culpar a nadie así que no diré el nombre.
Es un pequeño espacio web. Tengo PHP + MySQL (nada especial).
No lo probé, pero es posible ejecutar ejecutables usando la función exec() de PHP, lo que permite realizar llamadas al kernel directamente. Pero incluso si no es posible, creo que los parches que faltan son un problema.
Entonces, ¿cómo puede ser eso seguro? Sé que existen muchas técnicas de virtualización diferentes. ¿Quizás alguno de ellos lo explique?
Respuesta1
No, una caja guardada durante tanto tiempo no es segura.
Los sistemas operativos de uso general deben reiniciarse varias veces al año para recibir actualizaciones de seguridad (y calidad). Todos los procesos se verán afectados, ya que eventualmente habrá correcciones para la aplicación, la biblioteca C, la biblioteca TLS, etc. Es más fácil desactivar todo el sistema y demostrar que puede realizar un arranque en caliente.
La aplicación de parches en vivo es una tecnología limitada. Algunas distribuciones empresariales se tomarán la molestia de no proporcionar actualizaciones de reinicio para actualizaciones de kernel muy selectas, principalmente de seguridad. Pero esto no puede solucionarlo todo, la mayoría de las aplicaciones no lo tienen.
Suponiendo que se trate de una máquina virtual invitada, el hipervisor que contiene también necesita mantenimiento ocasional. La migración en vivo o el guardado del estado de la memoria pueden hacer que parezca que el invitado sigue ejecutándose, incluso cuando cambia de host físico. Pero esto no ayuda en nada a parchear al invitado, que todavía necesita sus propias actualizaciones.
Cuando se utilizan servicios de alojamiento administrado, el huésped informático y el anfitrión son responsabilidad de otra persona, pero aún así puede obtener garantías. Pregúntele al proveedor cuáles son sus políticas de actualización de software, en general. Es decir, ¿asumen explícitamente la responsabilidad de esto? ¿La frecuencia es trimestral o lo que sea? No tener una respuesta, o dejar las cosas funcionando intencionalmente durante años, son indicadores de incompetencia.
Si la preocupación es la disponibilidad, deberían tener alguna solución de alta disponibilidad de múltiples nodos. No se trata del tiempo de actividad de ningún host en particular, sino del servicio general que se brinda.
Respuesta2
No. No asegurado.
Las técnicas de virtualización, como la contenedorización, pueden proporcionar cierto nivel de seguridad para un servidor web Linux, pero no sustituyen las actualizaciones y el monitoreo periódicos. Si bien pueden ayudar a aislar el servidor de posibles amenazas, sigue siendo importante mantener actualizado el sistema operativo subyacente y monitorear cualquier problema.