it-swarm-vi.com

Máy chủ web nào an toàn hơn, Apache, nginx hoặc lighttpd?

Chúng tôi đang cố gắng quyết định nên chọn máy chủ web nào cho ứng dụng PHP.

Cái nào trong số Apache, nginx hay lighttpd là an toàn nhất? Cái nào trong số này có lỗ hổng bảo mật nghiêm trọng nhất?

22
Peter Smit

Hệ điều hành và máy chủ web mà bạn có nhiều kinh nghiệm nhất là thường sẽ an toàn nhất.

Bảo mật phụ thuộc vào tất cả các lớp, không chỉ máy chủ web. Nếu bạn chọn một lỗ hổng có rất ít lỗ hổng, nhưng không hiểu cách định cấu hình nó, rất có thể bạn sẽ không hiểu cách định cấu hình an toàn.

Chúng đều là các máy chủ web trưởng thành, vì vậy máy chủ bạn hiểu rõ nhất là máy chủ bạn sẽ có thể bảo mật nhất.

35
Bradley Kreider

Đối với tôi câu trả lời cho câu hỏi này là "nó phụ thuộc".

Trước hết tôi đoán nó phụ thuộc vào những gì bạn có nghĩa là an toàn. Nếu bạn đang tìm kiếm sự tự do khỏi các lỗi phần mềm thì bạn có thể xem các số liệu thống kê về lỗ hổng cho các sản phẩm được đề cập từ các trang web như http://www.secunia.com hoặc http: // www.cvedetails.com .

từ những người bạn có thể có được cái nhìn về việc có bao nhiêu vấn đề bảo mật đã được thừa nhận và vá lỗi công khai, điều này có thể khiến bạn nói rằng một sản phẩm an toàn hơn hoặc ít hơn.

Thật không may, không phải tất cả các sản phẩm đều có cùng mức độ xem xét kỹ lưỡng, vì vậy đó có thể không phải là một biện pháp tốt.

Điều khác cần xem xét là khả năng bảo mật. Nếu có các khả năng bảo mật cụ thể mà bạn yêu cầu (ví dụ: tích hợp WAF) thì điều đó có thể thúc đẩy sự lựa chọn máy chủ web của bạn.

Về câu hỏi cụ thể của bạn, tôi muốn nói rằng Apache gần đây đã có một hồ sơ bảo mật khá tốt (hầu hết các thông tin tôi đã thấy trong các phiên bản cập nhật hơn có xu hướng nằm trong các mô-đun không phải là máy chủ cốt lõi).

Đối với những người khác, bạn có thể lập luận rằng họ an toàn nếu không có bất kỳ lỗ hổng nào được công bố cho họ, nhưng sau đó họ vẫn có thể có các vấn đề không được công khai thừa nhận.

11
Rory McCune

Mặc dù điên rồ tiêu đề phạm vi gần đây, tôi nghĩ bạn có thể tạo ra một trường hợp tốt cho Apache, nếu bạn loại bỏ nó xuống chỉ những gì bạn cần. mod_security cũng là một điểm cộng tuyệt vời cho Apache.

Bạn cũng nên quyết định không chỉ dựa trên hồ sơ theo dõi mà dựa trên mức độ bạn nghĩ họ sẽ tiến lên. Rất nhiều trong số đó là một chức năng của quá trình trưởng thành, trạng thái của cơ sở mã, v.v. Tôi nghĩ rằng Apache nói chung khá tốt, mặc dù như tôi đã nói, hãy loại bỏ nó xuống chỉ những gì bạn cần.

Apache có rất nhiều nhãn cầu, nghĩa là nó sẽ có nhiều lỗi được báo cáo hơn, nhưng hãy nhớ rằng chỉ vì lỗi không được báo cáo đối với sản phẩm không có nghĩa là chúng không có ở đó, vì vậy nếu bạn nhắm mục tiêu trong một cuộc tấn công, ý kiến ​​của tôi là bạn muốn có ít ẩn số nhất có thể và Apache có thể chiến thắng trong số đó.

3
Steve Dispensa

đối với tôi, không quan trọng với Apache hay nginx hay lighttpd, vấn đề là ở lại với các bản cập nhật, chỉ cài đặt các plugin và mô-đun cập nhật được kiểm duyệt và cập nhật hàng tuần/hàng tháng và điều quan trọng nhất là KHÔNG BAO GIỜ mắc lỗi trên các ứng dụng web ( python, Perl, php, mysql, rtmp ....) nếu Apache và các mô-đun của bạn được vá/cập nhật và bạn có tràn bộ đệm sqli hoặc php để nó vô dụng, và về hệ điều hành, bạn có thể tạo một máy chủ windows bảo mật và bạn có thể làm cho một máy chủ unix thô tục

nguồn: Tôi là hacker Elite White

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31