it-swarm-tr.com

Hangi web sunucusu daha güvenli, Apache, nginx veya lighttpd?

PHP uygulamamız için hangi web sunucusunu seçeceğimize karar vermeye çalışıyoruz.

En güvenli olan Apache, nginx veya lighttpd hangisidir? Bunlardan hangisi en ve en ciddi güvenlik açıklarına sahipti?

22
Peter Smit

En çok deneyime sahip olduğunuz işletim sistemi ve web sunucusu genellikle en güvenli olacak.

Güvenlik, yalnızca web sunucusuna değil, tüm katmanlara bağlıdır. Çok az güvenlik açığı olan birini seçerseniz, ancak nasıl yapılandıracağınızı anlamıyorsanız, büyük olasılıkla güvenli bir şekilde nasıl yapılandıracağınızı anlamazsınız.

Hepsi olgun web sunucularıdır, bu yüzden en iyisini anladığınız, en güvenliğini sağlayacağınızdır.

35
Bradley Kreider

Benim için bu sorunun cevabı "duruma bağlıdır".

Öncelikle sanırım güvenli ile ne demek istediğine bağlı. Yazılım hatalarına karşı özgürlük arıyorsanız, söz konusu ürünler için güvenlik açıklarına ilişkin istatistiklere http://www.secunia.com veya http: // gibi sitelerden bakabilirsiniz. www.cvedetails.com .

bunlardan halka açık olarak kaç güvenlik sorununun kabul edildiğini ve yamalandığını görebilirsiniz; bu da bir ürünün az çok güvenli olduğunu söylemenize neden olabilir.

Ne yazık ki, tüm ürünler aynı seviyede incelemeye sahip değildir, bu nedenle bu iyi bir önlem olmayabilir.

Dikkate alınması gereken diğer bir şey güvenlik yetenekleridir. Gereksinim duyduğunuz belirli güvenlik yetenekleri (örneğin, WAF entegrasyonu) varsa, bu web sunucusu seçiminizi yönlendirebilir.

Özel sorunuz açısından, Apache'nin son zamanlarda oldukça iyi bir güvenlik kaydına sahip olduğunu söyleyebilirim (daha güncel sürümlerde gördüğüm vulkanların çoğu çekirdek sunucuda değil modüllerde olma eğilimindedir).

Diğerlerine gelince, onlar için yayınlanmış bir güvenlik açığı yoksa güvenli olduklarını iddia edebilirsiniz, ancak yine de genel olarak kabul edilmeyen sorunları olabilir.

11
Rory McCune

Son aralıktaki başlık deliliğine rağmen, yalnızca ihtiyacınız olana indirirseniz Apache için iyi bir durum oluşturabileceğinizi düşünüyorum. mod_security Apache için de güzel bir artı.

Ayrıca sadece geçmiş performansa değil, ileride ne kadar başarılı olacağını düşündüğünüze de karar vermelisiniz. Bunların birçoğu süreç olgunluğunun, kod tabanının durumunun, vb. Bir fonksiyonudur. Bence Apache genel olarak oldukça iyi bir iş çıkarıyor.

Apache'nin üzerinde çok fazla göz küresi var, yani ona karşı daha fazla hata bildirilecek, ancak bir ürüne karşı hataların rapor edilmemesi nedeniyle orada olmadıkları anlamına gelmediğini unutmayın. bir saldırı hedefli, benim görüşüme göre mümkün olan en az bilinmeyen istiyorum ve Apache muhtemelen bu sayı kazanır.

3
Steve Dispensa

benim için, Apache veya nginx veya lighttpd'de önemli değil, güncellemelerle kalmak, sadece haftalık/aylık denetlenen ve güncellenen güncellenmiş eklentileri ve modülleri yüklemek önemli ve en önemlisi ASLA web uygulamalarında bir hata yapmayın ( python, Perl, php, mysql, rtmp ....) Apache ve modülleri yamalanmış/güncellenmişse ve u yararsız olması için sqli veya php tampon taşması var ve OS hakkında güvenli bir windows sunucusu yapabilir ve savunmasız bir unix sunucusu yapabilir

kaynak: Elite White hacker

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31