Posiadamy maszyny z systemem operacyjnym opartym na RedHat, takim jak CentOS lub Scientific Linux. Chcemy, aby systemy automatycznie powiadamiały nas o wszelkich znanych lukach w zainstalowanych pakietach. FreeBSD robi to z portem port-mgmt / portaudit .
RedHat zapewnia yum-plugin-security , które mogą sprawdzać podatności na podstawie ich Bugzilla ID, CVE ID lub doradczego. Ponadto Fedora niedawno zaczęła obsługiwać zabezpieczenia yum-plugin . Myślę, że zostało to dodane w Fedorze 16.
Scientific Linux 6 nie obsługiwał zabezpieczeń wtyczek yum pod koniec 2011 roku . Jest dostarczany z /etc/cron.daily/yum-autoupdate
, który codziennie aktualizuje RPM. Nie sądzę jednak, że dotyczy to tylko aktualizacji zabezpieczeń.
CentOS nie obsługujeyum-plugin-security
.
Monitoruję listy mailingowe CentOS i Scientific Linux pod kątem aktualizacji, ale jest to żmudne i chcę czegoś, co można zautomatyzować.
Dla tych z nas, którzy obsługują systemy CentOS i SL, są jakieś narzędzia, które mogą:
- Automatycznie (Progamatycznie, przez crona) informuj nas, jeśli znane są luki w zabezpieczeniach moich obecnych RPM.
- Opcjonalnie automatycznie zainstalować minimalną aktualizację wymaganą do usunięcia luki w zabezpieczeniach, która prawdopodobnie byłaby
yum update-minimal --security
w linii poleceń?
Rozważyłem użycie yum-plugin-changelog
do wydrukowania dziennika zmian dla każdego pakietu, a następnie parsowanie danych wyjściowych dla niektórych ciągów. Czy są już jakieś narzędzia, które to robią?
Odpowiedzi:
Jeśli absolutnie chcesz użyć
yum security plugin
, istnieje sposób, aby to zrobić, choć trochę skomplikowane. Ale po skonfigurowaniu wszystko jest zautomatyzowane.Jedynym wymaganiem jest to, że musisz mieć co najmniej jedną subskrypcję RHN. Co jest dobrą inwestycją IMO, ale trzymajmy się rzeczy.
yum security
.modifyrepo
polecenia, jak pokazano tutaj , wstrzyknąćupdateinfo.xml
dorepomd.xml
. Zanim to zrobisz, będziesz musiał zmodyfikować skrypt Perla, aby zmienić sumy Rpm MD5 wewnątrz xml, z RHN na sumy Centos. I musisz się upewnić, czy repozytoria CentOS rzeczywiście zawierają wszystkie Rpmsupdateinfo.xml
, ponieważ czasami są za RHN. Ale to dobrze, możesz zignorować aktualizacje, których CentOS nie nadrobił, ponieważ niewiele można z tym zrobić, poza budowaniem ich z SRPM.Dzięki opcji 2 możesz zainstalować
yum security
wtyczkę na wszystkich klientach i będzie działać.Edycja: Działa to również w przypadku maszyn Redhat RHEL 5 i 6. I jest prostszy niż stosowanie ciężkiego rozwiązania, takiego jak Spacewalk lub Pulp.
źródło
Scientific Linux może teraz wyświetlać aktualizacje zabezpieczeń z wiersza poleceń. Ponadto mogę zaktualizować system tak, aby stosował tylko aktualizacje zabezpieczeń, co jest lepsze niż domyślne („Po prostu zaktualizuj wszystko! W tym poprawki błędów, na których ci nie zależy i które wprowadzają regresje”.
Przetestowałem to zarówno na Scientific Linux 6.1, jak i 6.4. Nie jestem pewien, kiedy to zostało oficjalnie ogłoszone, ale opublikuję więcej, gdy się dowiem.
Oto kilka przykładów.
Wyświetl podsumowanie aktualizacji zabezpieczeń:
Lista według CVE:
A potem mogę zastosować minimalny zestaw wymaganych zmian
Lub po prostu załataj wszystko:
Jeśli spróbuję tego samego polecenia na polu CentOS6, nie otrzymam żadnych wyników. Wiem na pewno, że niektóre z „dostępnych 137 pakietów” zawierają poprawki bezpieczeństwa, ponieważ wczoraj otrzymałem powiadomienia o błędach za pośrednictwem list mailingowych CentOS.
źródło
Miałem ten sam problem. Zadałem sobie trud stworzenia kodu Pythona, aby zebrać Yum Updates i porady ze strony Steve-Meiera Errata wspomnianej powyżej (filtruję go na podstawie zainstalowanych pakietów).
Jeśli to pomoże, oto źródło: https://github.com/wied03/centos-package-cron
źródło
Ponieważ masz CFEngine, możesz wprowadzać zmiany w grupach systemów jednocześnie na podstawie aktualizacji zabezpieczeń opublikowanych pod adresem : http://twitter.com/#!/CentOS_Announce
Nie jestem największym inżynierem ds. Bezpieczeństwa serwerów ... ale zdaję sobie sprawę, że dbam o kilka pakietów, jeśli chodzi o bezpieczeństwo. Priorytetem jest wszystko, co ma charakter publiczny (ssl, ssh, apache) lub ma duży exploit. Wszystko inne jest oceniane kwartalnie. Nie chcę, aby te rzeczy były aktualizowane automatycznie, ponieważ zaktualizowane pakiety mogą potencjalnie uszkodzić inne elementy w systemie produkcyjnym.
źródło
Scientific Linux (przynajmniej 6.2 i 6.3; nie mam żadnych układów z lewej) 6.1 nie obsługuje tylko
yum-plugin-security
ale plik konfiguracyjny dlayum-autoupdate
,/etc/sysconfig/yum-autoupdate
, pozwala wyłączyć tylko instalację aktualizacji zabezpieczeń.źródło
Z CentOS możesz korzystać
zamiast yum-plugin-security, a może chcesz wypróbować skanowanie skryptu na podstawie kanałów informacyjnych bezpieczeństwa CentOS: LVPS .
źródło
yum list updates
wyświetli wszystkie aktualizacje, gdy chcę wymienić tylko aktualizacje bezpieczeństwa .yum list updates --security
nie działa (być może potrzebuje wtyczki)Możesz także wypróbować projekt generate_updateinfo . Jest to skrypt Pythona, który przetwarza
errata.latest.xml
plik skompilowany przez projekt CEFS i generujeupdateinfo.xml
plik z metadanymi aktualizacji zabezpieczeń. Następnie możesz wstrzyknąć go do lokalnego repozytorium aktualizacji CentOS 6 (7). Całkiem łatwo zintegrować go z niestandardowymi / lokalnymi repozytoriami utworzonymi za pomocącreaterepo
polecenia:reposync
poleceniemcreaterepo
poleceniaupdateinfo.xml
plik zegenerate_updateinfo.py
skryptemmodifyrepo
poleceniaźródło
Na CentOS6 możesz użyć wtyczki yum-security:
Sprawdź z:
To polecenie zwraca kod 0, jeśli nie są dostępne aktualizacje zabezpieczeń.
W połączeniu z yum-cron możesz otrzymać wiadomość e-mail tylko na temat dostępnych aktualizacji zabezpieczeń, modyfikując plik / etc / sysconfig / yum-cron:
źródło
yum --security check-update
, polecenie powraca za pomocąNo packages needed for security; 137 packages available
. Wiem na pewno, że niektóre z dostępnych aktualizacji zawierają poprawki bezpieczeństwa. Aktualizacje są dostępne w „podstawowym” repozytorium CentOS, ale nie są oznaczone jako poprawki bezpieczeństwa. CentOS nie zapewnia obecnie repozytorium yum dla poprawek bezpieczeństwa, w przeciwieństwie do Red Hat, Scientific Linux i EPEL.