我使用apt-get在ubuntu 14.04上安装了apache。 我build立了一个简单的网站,上传了几张图片等,网站正在工作。 我已经决定使用在线安全检查服务之一来查看安全问题。 安全审计表示我有两个中等严重性问题:
Apache Running Version Prior to 2.4.8 Apache Running Version Prior to 2.4.10 存储库不包含任何更新,所以我假设我有最高的可用版本…我知道如何检查的唯一的事情是openproxy与curl(我试图获取维基百科页面,并有我自己的主页,这似乎是正确的)
在日志中,我看到很多ssh brutalforce尝试都被fail2ban阻止,并且在apache中logging了一些奇怪的GET请求(许多表示shellshock尝试),还有GET请求到其他站点,正如我所提到的那样,返回我的主页。
不,不要担心旧版本号。 Ubuntu打包程序将安全补丁移植到旧版本。 截至目前,如果您运行apt-cache policy apache2 ,您应该看到来自security.ubuntu.com以及us.archive.ubuntu.com的2.4.7-1ubuntu4.1版本。
这是一个太大的问题在这里回答。 但请参阅保护LAMP服务器的提示 。