У нас есть машины с дистрибутивами на базе RedHat, такими как CentOS или Scientific Linux. Мы хотим, чтобы системы автоматически уведомляли нас о любых известных уязвимостях в установленных пакетах. FreeBSD делает это с портом ports-mgmt / portaudit .
RedHat обеспечивает yum-plugin-security , который может проверять уязвимости по их идентификатору Bugzilla, CVE или консультативному идентификатору. Кроме того, недавно Fedora начала поддерживать yum-plugin-security . Я считаю, что это было добавлено в Fedora 16.
Scientific Linux 6 не поддерживал безопасность yum-plugin-безопасности по состоянию на конец 2011 года . Он поставляется с /etc/cron.daily/yum-autoupdate
, который обновляет RPM ежедневно. Я не думаю, что это обрабатывает только обновления безопасности, однако.
CentOS не поддерживаетyum-plugin-security
.
Я отслеживаю обновления списков рассылки CentOS и Scientific Linux, но это утомительно, и я хочу что-то, что можно автоматизировать.
Для тех из нас, кто поддерживает системы CentOS и SL, есть ли инструменты, которые могут:
- Автоматически (программно, через cron) сообщать нам, если есть известные уязвимости в моих текущих RPM.
- При желании автоматически установить минимальное обновление, необходимое для устранения уязвимости безопасности, которая, вероятно, будет
yum update-minimal --security
в командной строке?
Я рассмотрел использование yum-plugin-changelog
для распечатки журнала изменений для каждого пакета, а затем проанализировать вывод для определенных строк. Есть ли инструменты, которые делают это уже?
Ответы:
Если вы абсолютно хотите использовать
yum security plugin
, есть способ сделать это, хотя и немного сложнее. Но как только вы это настроите, все будет автоматизировано.Единственное требование - вам необходимо иметь хотя бы одну подписку на RHN. Что является хорошим инвестиционным ИМО, но давайте придерживаться сути.
yum security
.modifyrepo
команду, как показано здесь , для внедренияupdateinfo.xml
вrepomd.xml
. Перед этим вам нужно будет изменить скрипт perl, чтобы изменить суммы Rpm MD5 внутри xml, от значений RHN до Centos. И вам нужно будет убедиться, что в репозиториях CentOS действительно указаны все Rpmsupdateinfo.xml
, поскольку они иногда отстают от RHN. Но это нормально, вы можете игнорировать обновления, с которыми CentOS не догнал, так как мало что можно с этим поделать, за исключением построения их из SRPM.С опцией 2 вы можете установить
yum security
плагин на всех клиентах, и он будет работать.Изменить: Это также работает для Redhat RHEL 5 и 6 машин. И это проще, чем использование тяжелого решения, такого как Spacewalk или Pulp.
источник
Scientific Linux теперь может перечислять обновления безопасности из командной строки. Кроме того, я могу обновить систему, чтобы применять только обновления безопасности, что лучше, чем по умолчанию («Просто обновите все! Включая исправления ошибок, которые вас не волнуют и которые представляют регрессии».
Я проверил это на Scientific Linux 6.1 и 6.4. Я не уверен, когда это было официально объявлено, но я опубликую больше, когда узнаю.
Вот несколько примеров.
Перечислите сводку обновлений безопасности:
Список по CVE:
И тогда я могу применить минимальный набор изменений, необходимых для
Или просто исправьте все:
Если я попробую эту же команду на коробке CentOS6, я не получу никаких результатов. Я точно знаю, что некоторые из «137 доступных пакетов» содержат исправления безопасности, потому что вчера я получил уведомления об ошибках через списки рассылки CentOS.
источник
У меня такая же проблема. Я попытался создать некоторый код на Python, чтобы собрать обновления Yum и рекомендации с упомянутого выше сайта Steve-Meier Errata (я фильтрую его на основе установленных пакетов).
В случае, если это помогает, вот источник: https://github.com/wied03/centos-package-cron
источник
Поскольку у вас есть CFEngine, вы можете применять изменения к группам систем одновременно на основе обновлений безопасности, размещенных по адресу: http://twitter.com/#!/CentOS_Announce
Я не самый большой инженер по серверной безопасности ... но я склонен считать, что мне небезразлично лишь несколько пакетов, когда речь заходит о безопасности. Все, что является общедоступным (ssl, ssh, apache) или имеет существенный эксплойт, получает приоритет. Все остальное оценивается ежеквартально. Я не хочу, чтобы эти вещи обновлялись автоматически, потому что обновленные пакеты могут потенциально сломать другие элементы в производственной системе.
источник
Scientific Linux (по крайней мере , 6,2 и 6,3, у меня нет каких - либо 6.1 системы слева) не только поддерживает ,
yum-plugin-security
но файл конфигурации дляyum-autoupdate
,/etc/sysconfig/yum-autoupdate
позволяет вам включить только установку обновлений безопасности.источник
На CentOS вы можете использовать
вместо yum-plugin-security или, может быть, вы хотите попробовать это сканирование сценариев на основе новостных лент безопасности CentOS: LVPS .
источник
yum list updates
будет перечислять все обновления, когда я хочу перечислить только обновления безопасности .yum list updates --security
не работает (возможно, нужен плагин)Вы также можете попробовать создать generate_updateinfo проект. Это скрипт python, который обрабатывает
errata.latest.xml
файл, скомпилированный проектом CEFS, и генерируетupdateinfo.xml
файл с метаданными обновлений безопасности. Затем вы можете добавить его в свой локальный репозиторий обновлений CentOS 6 (7). Довольно просто интегрировать его с пользовательскими / локальными репозиториями, созданнымиcreaterepo
командой:reposync
командойcreaterepo
командыupdateinfo.xml
файл соgenerate_updateinfo.py
скриптомmodifyrepo
командыисточник
На CentOS6 вы можете использовать плагин yum-security:
Проверить с:
Эта команда возвращает код 0, если нет доступных обновлений безопасности.
В сочетании с yum-cron вы можете получать электронную почту только при наличии доступных обновлений безопасности, изменив файл / etc / sysconfig / yum-cron:
источник
yum --security check-update
, команда возвращается сNo packages needed for security; 137 packages available
. Я точно знаю, что некоторые из доступных обновлений содержат исправления безопасности. Обновления доступны в базовом репозитории CentOS, но они не помечены как исправления безопасности. В настоящее время CentOS не предоставляет репозиторий yum для исправлений безопасности, в отличие от Red Hat, Scientific Linux и EPEL.