quanto sono sicuri i server Web come Apache2 o Nginx su un linux corrente, ad es. Debian, quando scaricato da un repository di questa distribuzione? Ovviamente, devono essere configurati correttamente e devono essere aggiornati.
Se non sono sicuri, cosa fanno le aziende con i loro server web per maggiore sicurezza? Supporto commerciale / patch?
Modifica: i repository non sono le ultime versioni, ma vecchie versioni con correzioni di sicurezza. Sono sicuri come le ultime versioni?
I server Web che hai fornito con le distribuzioni Linux (Apache e Nginx) sono due dei tre server web più comunemente utilizzati (statistiche dal Maggio Netcraft report ).
Pertanto è sicuro affermare che un numero molto elevato di aziende le considera sicure per un uso diffuso su Internet (che è per definizione un ambiente abbastanza ostile).
Avere quei server web installati dai repository di distribuzione Linux probabilmente non fa una grande differenza per la loro sicurezza pratica dato che la maggior parte / tutte le distribuzioni Linux forniranno patch di sicurezza in cui vengono rilevati nuovi problemi. Alcune distribuzioni Linux eseguiranno "backport" delle correzioni di sicurezza in modo che queste vengano applicate anche laddove il versio di base del software non viene aggiornato. Questo può fornire benefici dal punto di vista della stabilità.
Per sapere se sono "sicuri" abbastanza per le tue esigenze, è impossibile dirlo senza conoscere la tua organizzazione in modo specifico.
In genere sì, sono sicuri. Ricevono le patch proprio come le versioni del progetto. La maggior parte delle distro emette avvisi di sicurezza in quanto forniscono patch: avvisi di sicurezza Debian , Avviso cappello rosso 6 .
Sono sicuri quanto il prossimo fiasco di sicurezza diffuso, cioè se vieni colpito da un buco di apertura, sei sicuro di pensare che anche altri lo siano. Il lato positivo è che gli aggiornamenti e le correzioni sono in genere molto rapidi durante il turnaround.