我希望自动化免费的GeoIP数据库的下载和安装,我想知道是否有任何额外的校验选项avaliable因为MD5变得更容易受到原像攻击。验证GeoIP的数据库来自GeoIP的
Additionaly MD5校验和存储在同一台服务器意味着任何攻击者闯入该服务器上就能上传潜在的恶意数据库,并将它在没有任何客户端是明智的服务。
GPG是一种常见的验证工具,对于大多数Linux用户给予他们的包管理器已经进行这种验证,这将是微不足道的设置。
maxmind.com支持TLS SSL HTTPS其下载链接(刚加入的“s”你自己),所以一定要保持你的证书,准确和库是最新的,你应该那样安全是可能的。
即使假设他们的网络服务器被劫持,那么在这一点上MD5 vs SHA与GPG的关系就没有任何意义,因为您不会对攻击的宽度和宽度有合理的保证或概念。这可能是公司自己故意实施的内部工作。无论如何,maxmind不会对人类或自动化错误提供任何健康保证,因此请根据建议采取措施。
对于免费服务(免费的数据库,免费的带宽,巨大的每周更新),你可以不完全去乞求空气跳空诺克斯堡率的安全性。 TLS已经比你需要的更好。
欢迎您执行针对先前下载的数据库中的新下载的数据库你自己的理智检查,以确保任何改变或更正名义上是微不足道的。更好的是,您可以使用他们的GeoIP更新程序或直接下载补丁程序。这样,您只需下载名义上不重要的更新即可,并且可以在将它们合并到数据库之前自行检查它们。而且你会为每个人节省带宽。
有人闯入GeoIP服务器并将CSV数据库更改为错误信息的风险是什么?为什么要这样做? –
首先,不应该忽略安全因为“它只是一个文本文件”,或者“我的服务不重要”。其次,不仅有CSV文件,还有BIN文件(以它们的格式)。并且错误总是出现在代码中,如果攻击者利用解析代码中的漏洞会怎么样。 第三,攻击者可以简单地使文件大量锁定资源和文件空间。 最后,下载GeoIP数据库的自动化意味着从发生黑客事件到结束在服务器上的时间减少;并且在影响之前检测和修复的时间也会减少。 – Lee