我购买了一台二手 Supermicro 服务器(2011 年)来托管我自己的 Web 服务。我安装了 Debian 10 Buster 并设置了 LAMP 服务器。端口 80 和 443 只能从 NAT 后面的 Internet 访问。
服务器主板型号为 X9SCM-F。在 Supermicro 网站上,它被标记为 EOL。英特尔 82579LM 和 82574L 以太网控制器被标记为“预期停产”。
使用报废服务器硬件有哪些风险?如果我的操作系统没有受到威胁,是否可以利用互联网上的硬件安全漏洞?
谢谢。
是的,那么旧的硬件可能会带来安全风险。举一个具体的例子,推测执行侧信道 CPU 攻击,它不能在软件中完全修复。
Supermicro X9SCM-F可以连接至强 E3-1200 v2 系列。根据英特尔安全指南,该系列已停产。理论上,BIOS 更新会得到一些修复,直到 Intel 停止发布此 CPU 的微代码,但我发现 Supermicro BIOS 更新似乎太旧了,无法进行任何修复。
此类硬件级别的安全漏洞不容易被利用,需要以非常特定的方式运行 CPU 的不受信任的代码。不太可能针对大多数组织的风险级别,但令人担忧的是它绕过了许多隔离技术。
至于不需要操作系统通过互联网利用硬件漏洞,带外管理是有风险的。不要将 IPMI 或类似的东西放在互联网上,尤其是当该服务器模型不再有安全更新时。
在不同的风险类别中,您不太可能获得有关此硬件的帮助。硬件和软件支持可能对您没有帮助,并且可能无法获得零件。
NAT 不提供安全性。防火墙可以。在具有零 NAT 的纯 IPv6 网络中的等效数据包过滤器将同样安全。