Recherchez automatiquement les mises à jour de sécurité sur Centos ou Scientific Linux?
Nous avons des machines exécutant des distributions à base de Redhat, telles que Centos ou Scientific Linux. Nous voulons que les systèmes nous avertissent automatiquement s'il existe des vulnérabilités connues aux packages installés. FreeBSD le fait-il avec le port Ports-MGMT/Portudit Port.
Redhat fournit Yum-plugin-Security , qui peut vérifier les vulnérabilités par leur identifiant de bugzilla, CVE ID ou identifiant de conseil. De plus, Fedora a récemment commencé à soutenir Yum-Plugin-Security . Je crois que cela a été ajouté à Fedora 16.
Scientific Linux 6 n'a pas supportez Yum-Plugin-Security à partir de la fin de 2011 . Il est livré avec /etc/cron.daily/yum-autoupdate, qui met à jour les RPM par jour. Je ne pense pas que cela traite uniquement des mises à jour de sécurité.
Centos fait ne supporte pas yum-plugin-security .
Je surveille les mailings de mailing Centos et Scientific Linux pour les mises à jour, mais c'est fastidieux et je veux quelque chose qui peut être automatisé.
Pour ceux d'entre nous qui maintiennent des systèmes Centos et SL, existe-t-il des outils qui peuvent:
- Automatiquement (programme, via Cron) nous informer s'il y a des vulnérabilités connues avec mes RPM actuels.
- Éventuellement, installez automatiquement la mise à niveau minimale requise pour répondre à une vulnérabilité de sécurité, ce qui serait probablement
yum update-minimal --securitysur la ligne de commande?
J'ai envisagé d'utiliser yum-plugin-changelog Pour imprimer le changelog pour chaque emballage, puis analyser la sortie pour certaines chaînes. Y a-t-il des outils qui font déjà cela?
Scientific Linux peut désormais répertorier les mises à jour de sécurité de la ligne de commande. De plus, je peux mettre à jour un système pour appliquer uniquement des mises à jour de sécurité, ce qui est mieux que la valeur par défaut ("il suffit de tout mettre à jour! Y compris des bugs que vous ne vous souciez pas et qui présentent des régressions."
J'ai testé cela sur les deux scientifiques Linux 6.1 et A 6.4. Je ne suis pas sûr quand cela a été officiellement annoncé, mais je posterai plus quand je découvre.
Voici quelques exemples.
Énumérez un résumé des mises à jour de sécurité:
[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
4 Security notice(s)
1 important Security notice(s)
3 moderate Security notice(s)
2 Bugfix notice(s)
updateinfo summary done
root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec. kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done
Liste par cve:
[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
* epel: mirrors.kernel.org
* sl6x: ftp.scientificlinux.org
* sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done
Et puis je peux appliquer l'ensemble minimal de modifications requises pour
[root@node1 ~]# yum update-minimal --security
Ou, juste correctivement correctement:
[root@node1 ~]# yum --quiet --security check-update
gnutls.x86_64 2.8.5-14.el6_5 sl-security
libtasn1.x86_64 2.3-6.el6_5 sl-security
[root@node1 ~]# yum --quiet --security update
=================================================================================================================
Package Arch Version Repository Size
=================================================================================================================
Updating:
gnutls x86_64 2.8.5-14.el6_5 sl-security 345 k
libtasn1 x86_64 2.3-6.el6_5 sl-security 237 k
Transaction Summary
=================================================================================================================
Upgrade 2 Package(s)
Is this ok [y/N]: Y
[root@node1 ~]#
Si j'essaie cette même commande sur une boîte Centos6, je ne reçois pas de résultats. Je sais que certains des "137 packages disponibles" contiennent des correctifs de sécurité, car j'ai reçu les avis d'errata hier via les mailingles Centos.
[root@node1 ~]# yum --security check-update
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
* base: mirrors.usc.edu
* epel: mirrors.kernel.org
* extras: mirror.web-ster.com
* updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#
J'ai eu le même problème. J'ai pris un coup de couteau à la création de certains Python code pour tirer ensemble Yum mises à jour et avis du site d'errata Steve-Meier mentionné ci-dessus (je le filtre en fonction de l'installation installée. paquets).
Au cas où il aide, voici la source: https://github.com/wied03/centeos-package-cron
Sur Centos, vous pouvez utiliser
yum list updates
au lieu de Yum-Plugin-Security, ou peut-être que vous souhaitez essayer cette numérisation de script sur la base des flux de nouvelles de Security Centos: LVPS .
Scientific Linux (au moins 6.2 et 6.3; Je n'ai pas de 6,1 systèmes laissés) non seulement prend en charge yum-plugin-security Mais le fichier de configuration pour yum-autoupdate, /etc/sysconfig/yum-autoupdate, vous permet d'activer uniquement l'installation de mises à jour de sécurité.
# USE_YUMSEC
# This switches from using yum update to using yum-plugin-security
# true - run 'yum --security' update rather than 'yum update'
# false - defaults to traditional behavior running 'yum update' (default)
# + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"
Depuis que vous avez CFENGINE, vous pouvez appliquer des modifications aux groupes de systèmes à l'heure en fonction des mises à jour de sécurité publiées à l'adresse suivante: http://twitter.com/#!/centeos_announce
Je ne suis pas le plus grand ingénieur de sécurité du serveur ... mais j'ai tendance à trouver que je me soucie seulement de quelques forfaits en matière de sécurité. Tout ce qui est en public (SSL, SSH, Apache) ou a une exploitement majeur obtient la priorité. Tout le reste devient évalué trimestriel. Je ne veux pas que ces choses se soient améliorées automatiquement car les packages mis à jour peuvent potentiellement casser d'autres éléments sur un système de production.
Vous pouvez également essayer générate_updateinfo projet. C'est un python script qui traite errata.latest.xml Fichier compilé par CFS Projet et génère updateinfo.xml Fichier avec des métadonnées de mises à jour de sécurité. Vous pouvez ensuite l'injecter à votre référentiel de mise à jour Centos 6 (7) local. Il est assez simple de l'intégrer avec des référentiels personnalisés/locaux créés par createrepo commande:
- référentiel de miroir avec
reposynccommande - créez un référentiel local avec
createrepocommande - téléchargez et générez
updateinfo.xmlDossier avecgenerate_updateinfo.pyscript - injectez des mises à jour de sécurité générées de métadonnées à votre référentiel local avec la commande
modifyrepo