Kami memiliki mesin yang menjalankan distro berbasis RedHat seperti CentOS atau Scientific Linux. Kami ingin sistem secara otomatis memberi tahu kami jika ada kerentanan yang diketahui terhadap paket yang diinstal. FreeBSD melakukan ini dengan port port-mgmt / portaudit .
RedHat menyediakan yum-plugin-security , yang dapat memeriksa kerentanan dengan ID Bugzilla, ID CVE atau ID penasehat mereka. Selain itu, Fedora baru-baru ini mulai mendukung yum-plugin-security . Saya yakin ini ditambahkan di Fedora 16.
Scientific Linux 6 tidak mendukung keamanan yum-plugin-pada akhir 2011 . Itu kapal dengan /etc/cron.daily/yum-autoupdate
, yang memperbarui RPM setiap hari. Saya tidak berpikir ini hanya menangani Pembaruan Keamanan.
CentOS tidak mendukungyum-plugin-security
.
Saya memantau mailinglist CentOS dan Scientific Linux untuk pembaruan, tetapi ini membosankan dan saya ingin sesuatu yang dapat otomatis.
Bagi kita yang memelihara sistem CentOS dan SL, apakah ada alat yang dapat:
- Secara otomatis (Secara progresif, via cron) memberi tahu kami jika ada kerentanan yang diketahui dengan RPM saya saat ini.
- Secara opsional, secara otomatis menginstal pemutakhiran minimum yang diperlukan untuk mengatasi kerentanan keamanan, yang mungkin ada
yum update-minimal --security
pada commandline?
Saya telah mempertimbangkan menggunakan yum-plugin-changelog
untuk mencetak changelog untuk setiap paket, dan kemudian menguraikan output untuk string tertentu. Apakah ada alat yang sudah melakukan ini?
Jawaban:
Jika Anda benar-benar ingin menggunakannya
yum security plugin
, ada cara untuk melakukan ini, meski sedikit rumit. Tetapi begitu Anda sudah mengaturnya, semuanya otomatis.Satu-satunya persyaratan adalah Anda harus memiliki setidaknya satu langganan ke RHN. Yang merupakan IMO investasi yang bagus, tetapi mari kita tetap pada intinya.
yum security
.modifyrepo
perintah seperti yang ditunjukkan di sini , untuk menyuntikkanupdateinfo.xml
ke dalamrepomd.xml
. Sebelum melakukan ini, Anda harus memodifikasi skrip perl untuk mengubah jumlah Rpm MD5 di dalam xml, dari jumlah RHN ke Centos. Dan Anda harus memastikan apakah repositori CentOS benar-benar memiliki semua Rpms yang disebutkanupdateinfo.xml
, karena mereka kadang-kadang berada di belakang RHN. Tapi itu baik-baik saja, Anda dapat mengabaikan pembaruan yang CentOS tidak sadari, karena ada sedikit yang dapat Anda lakukan tentang hal itu, selain membangunnya dari SRPM.Dengan opsi 2, Anda dapat menginstal
yum security
plugin pada semua klien, dan itu akan berhasil.Sunting: Ini juga berfungsi untuk mesin Redhat RHEL 5 dan 6. Dan lebih sederhana daripada menggunakan solusi berat seperti Spacewalk atau Pulp.
sumber
Scientific Linux sekarang dapat mendaftar pembaruan keamanan dari commandline. Selain itu saya dapat memperbarui sistem untuk hanya menerapkan pembaruan keamanan, yang lebih baik daripada default ("Hanya perbarui semuanya! Termasuk perbaikan bug yang tidak Anda pedulikan dan yang memperkenalkan regresi."
Saya telah menguji ini di Scientific Linux 6.1 dan 6.4. Saya tidak yakin kapan ini diumumkan secara resmi, tetapi saya akan memposting lebih banyak ketika saya mengetahuinya.
Berikut ini beberapa contohnya.
Daftar ringkasan pembaruan keamanan:
Daftar berdasarkan CVE:
Dan kemudian saya bisa menerapkan set minimal perubahan yang diperlukan
Atau, tambal saja semuanya:
Jika saya mencoba perintah yang sama ini pada kotak CentOS6, saya tidak mendapatkan hasil apa pun. Saya tahu pasti bahwa beberapa dari '137 paket yang tersedia' berisi perbaikan keamanan, karena saya menerima pemberitahuan errata kemarin melalui milis CentOS.
sumber
Saya memiliki masalah yang sama. Saya mencoba membuat beberapa kode Python untuk mengumpulkan Pembaruan Yum dan saran dari situs Errata steve-meier yang disebutkan di atas (saya memfilternya berdasarkan paket yang diinstal).
Jika itu membantu, berikut adalah sumbernya: https://github.com/wied03/centos-package-cron
sumber
Karena Anda memiliki CFEngine, Anda dapat menerapkan perubahan pada kelompok sistem saat itu berdasarkan pada pembaruan keamanan yang diposting di: http://twitter.com/#!/CentOS_Announce
Saya bukan insinyur keamanan server terbesar di luar sana ... tapi saya cenderung menemukan bahwa saya hanya peduli pada beberapa paket ketika datang ke keamanan. Apa pun yang dihadapi publik (ssl, ssh, apache) atau memiliki exploit besar mendapat prioritas. Segala sesuatu yang lain akan dievaluasi setiap triwulan. Saya tidak ingin hal-hal ini ditingkatkan secara otomatis karena paket yang diperbarui berpotensi merusak barang-barang lain pada sistem produksi.
sumber
Scientific Linux (setidaknya 6.2 dan 6.3, saya tidak punya 6,1 sistem meninggalkan) mendukung tidak hanya
yum-plugin-security
tetapi file konfigurasi untuk untukyum-autoupdate
,/etc/sysconfig/yum-autoupdate
, memungkinkan Anda mengaktifkan hanya instalasi update keamanan.sumber
Pada CentOS Anda dapat menggunakan
alih-alih yum-plugin-security, atau mungkin Anda ingin mencoba pemindaian skrip ini berdasarkan feed berita keamanan CentOS: LVPS .
sumber
yum list updates
akan mendaftar semua pembaruan, ketika saya ingin mendaftar hanya pembaruan keamanan .yum list updates --security
tidak berfungsi (mungkin membutuhkan plugin)Anda juga dapat mencoba menghasilkan project_updateinfo. Ini adalah skrip python yang memproses
errata.latest.xml
file yang dikompilasi oleh proyek CEFS dan menghasilkanupdateinfo.xml
file dengan metadata pembaruan keamanan. Anda kemudian dapat menyuntikkannya ke repositori pembaruan CentOS 6 (7) lokal Anda. Cukup mudah untuk mengintegrasikannya dengan repositori custom / local yang dibuat dengancreaterepo
perintah:reposync
perintahcreaterepo
perintahupdateinfo.xml
file dengangenerate_updateinfo.py
skripmodifyrepo
perintahsumber
Pada CentOS6, Anda dapat menggunakan plugin yum-security:
Periksa dengan:
Perintah ini mengembalikan kode 0 jika tidak ada pembaruan keamanan yang tersedia.
Dalam kombinasi dengan yum-cron, Anda bisa mendapatkan email hanya pada pembaruan keamanan yang tersedia dengan memodifikasi file / etc / sysconfig / yum-cron:
sumber
yum --security check-update
, perintah kembali denganNo packages needed for security; 137 packages available
. Saya tahu pasti bahwa beberapa pembaruan yang tersedia berisi perbaikan keamanan. Pembaruan tersedia di repositori CentOS 'base', tetapi tidak ditandai sebagai perbaikan keamanan. CentOS saat ini tidak menyediakan repositori yum untuk patch keamanan, tidak seperti Red Hat, Scientific Linux dan EPEL.