运行最新的发行版,或者至less还有一个仍然在获取安全更新,显然是最好的做法。 如果一个特定的软件需要像CentOS 4.4这样的老版本(由厂商强制要求得到支持),假如我们把服务器本身放在一个安全的防火墙之后,这对我们是否是一个重要的安全问题?
这取决于在这个盒子上运行什么软件,如果它暴露在networking的其他部分,或暴露在互联网等。
CentOS 4已于二月份EOL'd 。 不再有安全更新,但会有很多安全漏洞。 除非您愿意执行所需的工作以使系统保持最新,否则不要使用它。 一般来说,像CentOS 5或CentOS 6这样的现代系统,安全性会比CentOS 4好。
如果您将这个未打补丁的系统保留在您的networking上,那么存在这样的风险:黑客可能会在您的networking中危害该系统,并将其作为跳板来连接networking中的其他系统。
CentOS 4 EOL在很久以前就已经宣布,供应商们有时间去更新他们的软件。 你的供应商没有做到这一点,这就是他们的能力。 他们有足够的时间从CentOS 4迁移到CentOS 5,CentOS 5将会在2017年之前收到安全更新 。 你的供应商多年前可能已经摆脱了这种棘手的局面。
CentOS 4已经超过7岁了。 CentOS 6于6个月前发布。
如果你绝对不能离开CentOS 4,请注意:
RHEL提供了一个付费选项来帮助保持软件的最新状态。 以下是CentOS 4 EOL公告所说:
对于无法在生命期结束前迁移EL 4代码库的用户,上游提供商打算提供有限的可选扩展程序。 如果您在2012年2月29日之前无法迁移到较新的代码库,CentOS计划build议您联系其销售团队获取延期服务的报价。
你是在一个困难的地方。
我的观点可能不是很受欢迎,但…
CentOS的这个版本是终结的,所以任何新的漏洞都不会被修补。
但是如果你想要你的供应商的支持,你需要运行那个不安全的软件。
所以
A)安全吗? 这取决于您正在运行的内容以及访问权限。 我会说,如果你没有运行任何东西,而是抽象地访问你公司内的一个特定的软件,并且公司内没有麻烦制造者的用户,而且除了那个应用程序之外的其他控制台,并且该应用程序不以root用户身份运行,那么您可能有点安全。 或者“足够安全”。 实际上,
乙)你的供应商是非常不负责任的升级软件,并迫使发布的平台是终结的终点…他们还没有发布一个新的版本。
C)我会监视那个永远活着的@ @%的服务器。 从信任的主机运行隐身。 运行tripwire。 定期备份。 恶意软件扫描尽可能最新。 当文件不应该被改变时,你需要找出什么东西改变了那台机器。
对于你描述的情况,答案是否定的,这是不安全的,但你可以采取措施,合理地检查问题。 你不了解这个应用程序是什么(如果是别人可能遇到的问题,我几乎要求你说出来,因为其他人应该避免这个供应商……)但是我的方法是从本质上提倡你必须离开你的房子的大门解锁,你应该把尽可能多的安全摄像机logging到远程设施,以作为一个窃贼入侵的证据。也就是说,使用隐形监视文件,使用入侵检测,使用校验和,删除所有不必要的服务,摆脱服务器上的编译器(如果他们在那里等),并迫使你的供应商更新他们的软件或在更新的平台上支持它。
实际上你只能减轻风险。
centos 4.4已经终结了,意思是说如果有未来的漏洞被发现,将不会提供补丁。 在这种情况下,由公司的安全团队决定是否真的如此,以及遵守什么规定。 如果供应商无法提供升级path,则可能需要寻找替代scheme,如果保留它会违反某种策略或合规性要求, 如果你受制于PCI。