Linux
使用舊伺服器硬體有哪些風險?
我購買了一台二手 Supermicro 伺服器(2011 年)來託管我自己的 Web 服務。我安裝了 Debian 10 Buster 並設置了 LAMP 伺服器。埠 80 和 443 只能從 NAT 後面的 Internet 訪問。
伺服器主機板型號為 X9SCM-F。在 Supermicro 網站上,它被標記為 EOL。英特爾 82579LM 和 82574L 乙太網控制器被標記為“預期停產”。
使用報廢伺服器硬體有哪些風險?如果我的作業系統沒有受到威脅,是否可以利用網際網路上的硬體安全漏洞?
謝謝。
是的,那麼舊的硬體可能會帶來安全風險。舉一個具體的例子,推測執行側通道 CPU 攻擊,它不能在軟體中完全修復。
Supermicro X9SCM-F可以連接至強 E3-1200 v2 系列。根據英特爾安全指南,該系列已停產。從理論上講,BIOS 更新會得到一些修復,直到英特爾停止發布此 CPU 的微程式碼,但我發現 Supermicro BIOS 更新似乎太舊了,無法進行任何修復。
此類硬體級別的安全漏洞不容易被利用,需要以非常特定的方式執行 CPU 的不受信任的程式碼。不太可能針對大多數組織的風險級別,但令人擔憂的是它繞過了許多隔離技術。
至於不需要作業系統通過網際網路利用硬體漏洞,帶外管理是有風險的。不要將 IPMI 或類似的東西放在網際網路上,尤其是當該伺服器模型不再有安全更新時。
在不同的風險類別中,您不太可能獲得有關此硬體的幫助。硬體和軟體支持可能對您沒有幫助,並且可能無法獲得零件。
埠 80 和 443 只能從 NAT 後面的 Internet 訪問。
NAT 不提供安全性。防火牆可以。在具有零 NAT 的純 IPv6 網路中的等效數據包過濾器將同樣安全。