Auf unseren Computern laufen RedHat-basierte Distributionen wie CentOS oder Scientific Linux. Wir möchten, dass die Systeme uns automatisch benachrichtigen, wenn bekannte Sicherheitslücken für die installierten Pakete bestehen. FreeBSD tut dies mit dem Port ports-mgmt / portaudit .
RedHat bietet Yum-Plugin-Sicherheit , die anhand ihrer Bugzilla-ID, CVE- ID oder Advisory-ID nach Schwachstellen suchen kann . Außerdem hat Fedora kürzlich damit begonnen, die YUM-Plugin-Sicherheit zu unterstützen . Ich glaube, das wurde in Fedora 16 hinzugefügt.
Scientific Linux 6 hat yum-plugin-security seit Ende 2011 nicht mehr unterstützt . Es wird mit ausgeliefert /etc/cron.daily/yum-autoupdate
, wodurch die RPMs täglich aktualisiert werden. Ich denke jedoch nicht, dass dies nur Sicherheitsupdates behandelt.
CentOS unterstützt nichtyum-plugin-security
.
Ich überwache die Mailinglisten von CentOS und Scientific Linux auf Aktualisierungen, aber das ist mühsam und ich möchte etwas, das automatisiert werden kann.
Für diejenigen von uns, die CentOS- und SL-Systeme warten, gibt es Tools, die Folgendes können:
- Automatisch (programmatisch, über cron) informieren Sie uns, wenn es bekannte Schwachstellen mit meinen aktuellen RPMs gibt.
- Installieren Sie optional automatisch das erforderliche Mindestupgrade, um eine Sicherheitsanfälligkeit zu beheben, die wahrscheinlich in
yum update-minimal --security
der Befehlszeile angezeigt wird.
Ich habe darüber nachgedacht yum-plugin-changelog
, das Changelog für jedes Paket auszudrucken und dann die Ausgabe für bestimmte Zeichenfolgen zu analysieren. Gibt es bereits Tools, die dies tun?
Antworten:
Wenn Sie unbedingt verwenden möchten
yum security plugin
, gibt es eine Möglichkeit, dies zu tun, obwohl ein wenig aufwendig. Aber sobald Sie es eingerichtet haben, ist alles automatisiert.Die einzige Voraussetzung ist, dass Sie mindestens ein Abonnement für RHN haben. Das ist eine gute Investition IMO, aber lassen Sie uns auf den Punkt bleiben.
yum security
.modifyrepo
gezeigten Befehl zum Injizieren zu verwenden . Bevor Sie dies tun, müssen Sie das Perl-Skript ändern, um die Rpm-MD5-Summen in der XML von RHN zu Centos-Summen zu ändern. Und Sie müssen sicherstellen, dass CentOS-Repos tatsächlich alle in erwähnten RPMs haben , da sie manchmal hinter RHN stehen. Aber das ist in Ordnung, Sie können die Aktualisierungen ignorieren, mit denen CentOS nicht Schritt gehalten hat, da Sie wenig dagegen tun können, außer sie aus SRPMs zu erstellen.updateinfo.xml
repomd.xml
updateinfo.xml
Mit Option 2 können Sie das
yum security
Plugin auf allen Clients installieren , und es wird funktionieren.Bearbeiten: Dies funktioniert auch für Redhat RHEL 5- und 6-Computer. Und ist einfacher als die Verwendung einer schwergewichtigen Lösung wie Spacewalk oder Pulp.
quelle
Scientific Linux kann jetzt Sicherheitsupdates über die Befehlszeile auflisten. Außerdem kann ich ein System so aktualisieren, dass nur Sicherheitsupdates angewendet werden. Dies ist besser als die Standardeinstellung ("Aktualisiere einfach alles! Einschließlich Bugfixes, die dir egal sind und die Regressionen einführen").
Ich habe dies sowohl auf Scientific Linux 6.1 als auch auf einem 6.4 getestet. Ich bin mir nicht sicher, wann dies offiziell angekündigt wurde, aber ich werde mehr posten, wenn ich es herausfinde.
Hier sind einige Beispiele.
Eine Zusammenfassung der Sicherheitsupdates auflisten:
Liste nach CVE:
Und dann kann ich die minimalen Änderungen anwenden, die für erforderlich sind
Oder patche einfach alles:
Wenn ich denselben Befehl auf einer CentOS6-Box versuche, erhalte ich keine Ergebnisse. Ich weiß, dass einige der '137 verfügbaren Pakete' Sicherheitsupdates enthalten, da ich gestern die Errata-Benachrichtigungen über die CentOS-Mailinglisten erhalten habe.
quelle
Ich hatte das gleiche problem Ich habe versucht, Python-Code zu erstellen, um Yum-Updates und Hinweise von der oben genannten Steve-Meier-Errata-Site zusammenzuführen (ich filtere sie basierend auf installierten Paketen).
Falls es hilft, hier ist die Quelle: https://github.com/wied03/centos-package-cron
quelle
Da Sie über CFEngine verfügen, können Sie Änderungen basierend auf den Sicherheitsupdates, die unter http://twitter.com/#!/CentOS_Announce veröffentlicht wurden , zu einem bestimmten Zeitpunkt auf Systemgruppen anwenden
Ich bin nicht der größte Server-Sicherheitstechniker, aber ich stelle tendenziell fest, dass ich mich nur um ein paar Pakete kümmere, wenn es um Sicherheit geht. Alles, was öffentlich zugänglich ist (ssl, ssh, apache) oder einen größeren Exploit hat, hat Priorität. Alles andere wird vierteljährlich bewertet. Ich möchte nicht, dass diese Dinge automatisch aktualisiert werden, da aktualisierte Pakete möglicherweise andere Elemente auf einem Produktionssystem beschädigen können.
quelle
Scientific Linux (mindestens 6.2 und 6.3; ich habe keine 6.1 - Systeme links) nicht nur unterstützt ,
yum-plugin-security
sondern die Konfigurationsdatei für füryum-autoupdate
,/etc/sysconfig/yum-autoupdate
ermöglicht es Ihnen , nur die Installation von Sicherheits - Updates zu aktivieren.quelle
Auf CentOS können Sie verwenden
Anstelle von yum-plugin-security, oder vielleicht möchten Sie dieses Skript-Scannen ausprobieren, das auf CentOS-Sicherheits-Newsfeeds basiert: LVPS .
quelle
yum list updates
listet alle Updates auf, wenn ich nur Sicherheitsupdates auflisten möchte .yum list updates --security
funktioniert nicht (braucht vielleicht ein Plugin)Sie können auch generate_updateinfo project ausprobieren . Es ist ein Python-Skript, das
errata.latest.xml
vom CEFS- Projekt kompilierte Dateien verarbeitet undupdateinfo.xml
Dateien mit Metadaten für Sicherheitsupdates generiert . Sie können es dann in Ihr lokales CentOS 6 (7) -Update-Repository einfügen. Es ist ziemlich einfach, es in benutzerdefinierte / lokale Repositorys zu integrieren, die mit folgendemcreaterepo
Befehl erstellt wurden :reposync
Befehlcreaterepo
Befehlupdateinfo.xml
Datei mitgenerate_updateinfo.py
Script herunterladen und generierenmodifyrepo
Befehl in Ihr lokales Repository einquelle
Unter CentOS6 können Sie das Plugin yum-security verwenden:
Erkundigen Sie sich bei:
Dieser Befehl gibt Code 0 zurück, wenn keine Sicherheitsupdates verfügbar sind.
In Kombination mit yum-cron können Sie eine E-Mail nur über verfügbare Sicherheitsupdates erhalten, indem Sie die Datei / etc / sysconfig / yum-cron ändern:
quelle
yum --security check-update
der Befehl beim Ausführen mit zurückkehrtNo packages needed for security; 137 packages available
. Ich weiß, dass einige der verfügbaren Updates Sicherheitsupdates enthalten. Die Updates stehen im CentOS-Basis-Repository zur Verfügung, sind jedoch nicht als Sicherheitsupdates gekennzeichnet. Im Gegensatz zu Red Hat, Scientific Linux und EPEL bietet CentOS derzeit kein umfangreiches Repository für die Sicherheitspatches.