it-swarm-korea.com

Apache, nginx 또는 lighttpd 중 어느 웹 서버가 더 안전한가요?

우리는 PHP 응용 프로그램을 위해 선택할 웹 서버를 결정하려고합니다.

Apache, nginx 또는 lighttpd 중 가장 안전한 것은 무엇입니까? 이 중 가장 심각한 보안 허점이있는 것은 무엇입니까?

22
Peter Smit

가장 경험이 많은 OS와 웹 서버는 보통 가장 안전합니다.

보안은 웹 서버뿐만 아니라 모든 계층에 달려 있습니다. 취약점이 거의없는 취약점을 선택했지만 구성 방법을 이해하지 못하면 보안 구성 방법을 이해하지 못할 가능성이 큽니다.

이들은 모두 성숙한 웹 서버이므로 가장 잘 이해하는 서버는 가장 안전하게 보호 할 수있는 서버입니다.

35
Bradley Kreider

나 에게이 질문에 대한 대답은 "그것은 달려있다"입니다.

먼저 보안이 의미하는 바에 달려 있다고 생각합니다. 소프트웨어 결함이없는 경우 http://www.secunia.com 또는 http : //와 같은 사이트에서 문제의 제품에 대한 취약성 통계를 확인할 수 있습니다. www.cvedetails.com .

이를 통해 공개적으로 승인되고 패치 된 보안 문제 수를 확인할 수 있으며, 제품의 보안 수준이 다소 떨어질 수 있습니다.

불행히도 모든 제품이 동일한 수준의 검사를받는 것은 아니므로 좋은 측정 방법이 아닐 수 있습니다.

고려해야 할 다른 것은 보안 기능입니다. 필요한 특정 보안 기능 (예 : WAF 통합)이있는 경우 웹 서버를 선택할 수 있습니다.

귀하의 특정 질문에 관해서는, Apache가 최근에 상당히 좋은 보안 기록을 가지고 있다고 말합니다 (최신 버전에서 보았던 대부분의 취약점은 핵심 서버가 아닌 모듈에있는 경향이 있습니다).

다른 사람들에 관해서는, 공개 된 취약점이없는 경우 안전하다고 주장 할 수 있지만 공개적으로 인정되지 않는 문제가있을 수 있습니다.

11
Rory McCune

최근의 범위 헤더 열풍에도 불구하고 필자는 필요한 것만으로 아파치에게 좋은 사례를 만들 수 있다고 생각합니다. mod_security는 Apache에도 좋은 장점입니다.

또한 실적을 기반으로 할뿐만 아니라 앞으로 어떻게 될지에 따라 결정해야합니다. 그 중 많은 부분이 프로세스 성숙도, 코드베이스 상태 등의 함수입니다. 필자가 말했듯이 Apache가 일반적으로 꽤 잘 작동한다고 생각합니다.

아파치에는 많은 안구가 있습니다. 즉, 더 많은 버그가보고 될 것입니다. 그러나 제품에 대해 버그가보고되지 않았다고해서 버그가 없다는 것은 아닙니다. 공격을 목표로, 내 의견은 당신이 가능한 가장 적은 미지수를 원한다는 것입니다. 아파치가 아마도 그 수에서 승리 할 것입니다.

3
Steve Dispensa

나를 위해, 아파치 나 nginx 또는 lighttpd, 중요하지 않습니다. 업데이트를 유지하고, 매주/매월 조정 및 업데이트되는 업데이트 된 플러그인 및 모듈 만 설치하십시오. 가장 중요한 것은 웹 응용 프로그램에서 실수하지 마십시오 ( python, Perl, php, mysql, rtmp ....) Apache와 해당 모듈이 패치/업데이트되고 u가 sqli 또는 php 버퍼 오버플로를 가지고있어 쓸모가 없으며 OS u가 안전한 Windows 서버를 만들 수 있습니다. vulnreable 유닉스 서버를 만들 수 있습니다

출처 : 저는 엘리트 화이트 해커입니다

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31