У меня есть VPS под управлением Ubuntu 14.04.3. Последней поддерживаемой Ubuntu версией Apache для этого выпуска является Apache 2.4.7.
Но компания, для которой я настроил сервер, стремится к соответствию PCI, и ей было отказано из-за уязвимостей безопасности, исправленных в Apache 2.4.14.
Последний стабильный выпуск Apache на данный момент - 2.4.17.
Было бы целесообразно / целесообразно для меня установить Apache 2.4.17 на сервер - могу ли я сделать это, используя apt-get с другим репозиторием пакетов, или мне нужно будет собрать из исходников?
С точки зрения безопасности вы вообще не хотите запускать Apache httpd 2.4.14 или даже 2.4.17, вы просто не хотите быть уязвимыми для каких-либо известных уязвимостей безопасности Apache (или других).
В общем, вы уже достигли этого, регулярно применяя обновления безопасности для поддерживаемой версии Ubuntu LTS.
Сканирование безопасности, вероятно, обнаружило строку версии Apache 2.4.7, произвело быстрый поиск в базе данных с известными уязвимостями, такими как https://nvd.nist.gov/ и нашел список, похожий на этот, на cvedetails.com и обнаружил, что CVE-2015-3185 это самая последняя уязвимость, относящаяся к вашей версии Apache.
Затем следует невежественный вывод: быть "безопасный и совместимый" нужно слепо следовать этому CVE и обновиться до Apache httpd 2.4.14 или новее.
Это не принимает во внимание обычную практику в дистрибутивах Linux "Enterprise", чтобы "backport" обновления безопасности. Причины резервного копирования и процесс довольно хорошо описаны на RedHat.com но аналогично для Ubuntu. (Пожалуйста, прочтите эту статью целиком.) Суть в том, что старый номер версии вовсе не означает небезопасность.
CVE-2015-3185 был признан Ubuntu как USN-2686-1 и был адресован.
Если вы еще этого не сделали, просто установите обычные обновления безопасности, и, несмотря на то, что вы остаетесь на Apache версии 2.4.7, вы не уязвимы ни для CVE-2015-3185, ни для каких-либо предыдущих CVE.
Я не очень хорошо знаком с процессом сертификации соответствия PCI, поэтому как перевести вышесказанное на получение сертификата ...
Что может помочь этот ответ (и даже все эти вопросы и ответы интересны, несмотря на то, что они сосредоточены на RHEL): используйте следующие директивы Apache и установите ServerTokens
к Prod
и установите ServerSignature
к Off
в вашем httpd.conf.
Могу я предложить вам нанять консультанта по PCI. Это действительно важный и сложный процесс сертификации. Чтобы сделать это у одного из моих клиентов, мы говорили о 100 тысячах долларов для инфраструктуры среднего размера. Также вам нужно смотреть на отличную картинку. Если ваш сервер Apache должен быть совместим с PCI, так как ваша ОС, ваша БАЗА ДАННЫХ, ваша сетевая инфраструктура (IPS / IDS), WAF, FireWall и т. Д.
Я не знаю, какая у вас настройка и какая у вас настройка клиента. Но для этого нужен серьезный анализ ... Настолько, что даже некоторые крупные компании отдают это сторонним службам, которые являются экспертами в предоставлении таких услуг.
Кроме того, вы также хотели бы получить серьезную страховку, если что-то не так (если вы консультант), и это вернется к вам ... Будьте готовы ко времени ошибок (дерьмо ударит по поклоннику) ...
Только мои 2 цента. Я знаю, что с технической точки зрения это не поможет вам, но я думаю, что это справедливый вклад для вас, поскольку вы должны вкладывать в это энергию или нет ...
В этом, удачи.