Недавно я начал новую должность в относительно небольшой компании и занял лидирующую позицию в Linux/UNIX (в частности, в Windows Server /AD и т.д., Но это не относится к делу) в нашей компании (до того, как появился один парень, который сделал это). абсолютно все, что связано с ИКТ). Он все еще с нами и вроде как мой равный, но теперь ему позволено больше концентрироваться на сетевой стороне вещей, которыми он, вероятно, является; по крайней мере, в отношении опыта, мой начальник; в то время как я беру на себя большую ответственность за Linux/UNIX /Windows /(общие системы и приложения), (и за сеть, когда /когда он отсутствует).
За много лет до того, как я присоединился, он настроил почтовый сервер Debian (и несколько других внутренних /DMZ-узлов) для нашей компании, но из-за нехватки времени просто не хватало часов в день, чтобы следить за обновлениями и безопасностью для них. (обвинить нашего босса; чтобы быть справедливым по отношению к моему коллеге, учитывая имеющееся у него время и знания, я думаю, он отлично справился с настройкой этих серверов). Прошло много лет, и в конце концов я взял на себя ответственность за эти узлы и решил провести предварительный тест на проникновение в системы, за которые теперь унаследовал ответственность. Я смог удаленно использовать bash ShellShock и показать доказательства концептуальных эксплойтов пары других известных проблем за очень короткое время, фактически десятки минут.
Самым важным из этих серверов является наш главный почтовый сервер и большинство других рассматриваемых, которые являются очень старыми (я думаю, что это версия 3) Debian Linux, для которых больше нет поддержки или активных репозиториев (с тех пор я их настроил) вторичные серверы, работающие параллельно на FreeBSD, которые в большинстве случаев считаются безопасными, но из-за довольно сложной установки, реализованной моим коллегой, не смогли полностью заменить).
Мой вопрос Мне, вероятно, придется собирать пакеты, такие как bash и openssl и тому подобное, в которых за последние несколько месяцев / лет были обнаружены серьезные дыры в безопасности, поскольку Debian некоторое время не выпускал патчи для этих систем и не заменял их. полностью слишком много времени, чтобы не иметь временного исправления на месте; где будет лучшим местом для:
- выяснить, какие пакеты имели серьезные пробелы в безопасности за последние несколько лет,
- получить исходный код для сборки,
- как их построить, чтобы избежать проблем с зависимостями (нет компилятора на рассматриваемых узлах, поэтому придется выполнять кросс-компиляцию из другой системы, возможно, статически со встроенными зависимостями),
- как правильно все потом проверить, чтобы убедиться, что все работает, как и ожидалось, и, по крайней мере, больше не открыто для всех, кроме самых решительных злоумышленников (я могу проверить себя, но понимаю, что есть несколько лет для изучения).
Я в основном пользователь Gentoo и FreeBSD, так что не очень хорошо осведомлен о знаниях Debian, но в целом я очень опытный пользователь Linux/UNIX с большим опытом программирования, но хочу быть уверенным, что я не не обращайте внимания на что-либо, прежде чем потенциально заглушить наш главный почтовый сервер и несколько наших внутренних серверов использования.