報告內容/proc/uptime:
48973211.37 1627573879.70
48973211 秒錶示伺服器已運行 567 天而沒有重新啟動。
從那時起,許多嚴重的安全修復程序已應用於 Linux 核心。因為我的伺服器從未重新啟動過,所以我一定丟失了所有這些補丁。我在歐洲一家大型網頁寄存服務商。但我不想責怪任何人,所以我不會說出這個名字。
這是一個很小的網路空間。我有 PHP + MySQL(沒什麼特別的)。
我沒有嘗試過,但可能可以使用 PHP 的 exec() 函數運行可執行文件,從而可以直接進行核心呼叫。但即使不可能,我認為缺少的補丁也是一個問題。
那麼如何才能確保安全呢?我知道有許多不同的虛擬化技術。也許其中之一解釋了這一點?
答案1
不,盒子存放這麼長時間並不安全。
通用作業系統應每年重新啟動多次,以進行安全(和品質)更新。所有進程都會受到影響,因為最終應用程式、C 庫、TLS 庫等都會被修復。更容易關閉整個系統並證明它可以進行熱啟動。
即時修補是一項有限的技術。一些企業發行版會遇到不為精選的(主要是安全的)核心更新提供重新啟動更新的麻煩。但這並不能解決所有問題,大多數應用程式都沒有這樣的東西。
假設這是一個虛擬機器來賓,其下的虛擬機器管理程式也需要偶爾維護。即時遷移或保存記憶體狀態可以使來賓系統看起來仍在運行,即使它切換了實體主機。但這對於給客戶端打補丁沒有任何作用,客戶端仍然需要自己的更新。
使用託管服務時,計算訪客和主機是另一個人的責任,但您仍然可以獲得保證。詢問提供者他們的軟體更新政策一般是什麼。例如,他們是否明確對此負責,頻率是季度還是其他。沒有答案,或故意讓事情繼續運作多年,都是無能的表現。
如果考慮可用性,他們應該有一些多節點高可用性解決方案。它不是任何一台主機的正常運作時間,而是所提供的整體服務。
答案2
不,沒有安全保障。
容器化等虛擬化技術可以為 Linux Web 伺服器提供一定程度的安全性,但它們不能取代定期更新和監控。雖然它們可以幫助將伺服器與潛在威脅隔離,但保持底層作業系統最新並監控任何問題仍然很重要。