CentOS veya Scientific Linux'ta Güvenlik Güncellemelerini otomatik olarak kontrol et?

CentOS veya Scientific Linux gibi RedHat tabanlı dağıtımları çalıştıran makinelerimiz var. Kurulu paketlerde bilinen güvenlik açıkları varsa, sistemlerin otomatik olarak bizi bilgilendirmesini istiyoruz. FreeBSD bunu ports-mgmt / portaudit port ile yapar.

RedHat, Bugzilla kimlikleri, CVE kimlikleri veya danışma kimlikleri ile güvenlik açıklarını kontrol edebilen yum-eklenti güvenliği sağlar . Buna ek olarak, Fedora kısa süre önce yum-plugin-security'u desteklemeye başladı . Bunun Fedora 16'ya eklendiğine inanıyorum.

Scientific Linux 6, 2011 sonundan itibaren yum-plugin-security özelliğini desteklemedi . /etc/cron.daily/yum-autoupdateGünlük RPM'leri güncelleyen ile birlikte gönderilir . Ancak bunun yalnızca Güvenlik Güncellemelerini işlediğini düşünmüyorum.

CentOS desteklemezyum-plugin-security .

Güncellemeler için CentOS ve Scientific Linux posta listelerini izliyorum, ancak bu sıkıcı ve otomatikleştirilebilecek bir şey istiyorum.

CentOS ve SL sistemlerini koruyanlarımız için aşağıdakileri yapabilen herhangi bir araç var:

1. Mevcut RPM'lerimle ilgili bilinen güvenlik açıkları olup olmadığını otomatik olarak (Progamically, cron aracılığıyla) bize bildirin.
2. İsteğe bağlı olarak, büyük olasılıkla yum update-minimal --securitykomut satırında olabilecek bir güvenlik açığını gidermek için gereken minimum yükseltmeyi otomatik olarak yükleyin ?

yum-plugin-changelogHer paket için changelog yazdırmak ve sonra belirli dizeleri için çıktı ayrıştırmak için kullanmayı düşündüm . Bunu zaten yapan araçlar var mı?

Kesinlikle kullanmak istiyorsanız yum security plugin, biraz ayrıntılı olmasına rağmen bunu yapmanın bir yolu var. Ancak bir kez kurduktan sonra, hepsi otomatiktir.

Tek gereksinim, RHN'ye en az bir aboneliğinizin olması gerektiğidir. Bu iyi bir yatırım IMO'su, ama noktaya sadık kalalım.

1. Aboneliğe sahip olduktan sonra , CentOS depolarını yansıtan bir şirket Yum repo kurmak için mrepo veya reposync kullanabilirsiniz . (veya rsync kullanabilirsiniz).
2. Daha sonra , güvenlik paketleri bilgilerini indirmek için RHN aboneliğinize düzenli olarak bağlanmak için bu posta listesi postasına eklenen komut dosyasını kullanın . Şimdi iki seçeneğiniz var.
   1. Oluşturulan "updateinfo.xml" dosyasından yalnızca paket adlarını çıkarın. Ve bu bilgileri, kukla veya cfengine veya döngü içinde ssh kullanarak güvenlik veya diğer güncellemelere ihtiyaç duyan Rpms için sunucularınızda "arama" yapmak için kullanın. Bu daha basittir, istediğiniz her şeyi verir , ancak kullanamazsınız yum security.
   2. Diğer seçenek, içine enjekte etmek için buradamodifyrepo gösterildiği gibi komutu kullanmaktır . Bunu yapmadan önce , xml içindeki Rpm MD5 toplamlarını RHN'den Centos toplamlarına değiştirmek için perl betiğini değiştirmeniz gerekecektir. Ve CentOS depolarının söz konusu tüm Rpms'lere sahip olup olmadığından emin olmanız gerekir , çünkü bazen RHN'nin arkasındadırlar. Ama sorun değil, CentOS'un yakalamadığı güncellemeleri göz ardı edebilirsiniz, bu konuda yapabileceğiniz çok az şey var, bunları SRPM'lerden oluşturmaktan yoksun.updateinfo.xmlrepomd.xmlupdateinfo.xml

Seçenek 2 ile, yum securitytüm istemcilere eklenti yükleyebilirsiniz ve çalışır.

Düzenleme: Bu ayrıca Redhat RHEL 5 ve 6 makineleri için de geçerlidir. Spacewalk veya Pulp gibi ağır bir çözelti kullanmaktan daha kolaydır.

Scientific Linux artık güvenlik güncellemelerini komut satırından listeleyebilir. Dahası, bir sistemi yalnızca varsayılan olandan daha iyi olan güvenlik güncellemelerini uygulamak için güncelleyebilirim ("Sadece her şeyi güncelleyin! Önem vermediğin ve regresyonları içeren hata düzeltmeleri dahil."

Bunu hem Scientific Linux 6.1 hem de 6.4 sürümlerinde test ettim. Bunun resmi olarak ne zaman açıklandığından emin değilim, ancak öğrendiğimde daha fazla yayınlayacağım.

İşte bazı örnekler.

Güvenlik güncelleştirmelerinin bir özetini listeleyin:

[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

CVE'ye göre liste:

[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

Ve sonra gerekli minimum değişiklikleri uygulayabilirim

[root@node1 ~]# yum update-minimal --security

Veya her şeyi yamalayın:

[root@node1 ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[root@node1 ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[root@node1 ~]#

Aynı komutu CentOS6 kutusunda denersem, sonuç alamıyorum. '137 paketin' bazılarının güvenlik düzeltmeleri içerdiğini biliyorum çünkü dün CentOS posta listeleri aracılığıyla hata bildirimlerini aldım.

[root@node1 ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#

Ben de aynı problemi yaşadım. Yukarıda belirtilen steve-meier Errata sitesinden Yum Güncellemelerini ve tavsiyelerini bir araya getirmek için bazı Python kodu oluşturmada bir bıçak aldım (Kurulu paketlere göre filtreliyorum).

Yardımcı olması durumunda, kaynak: https://github.com/wied03/centos-package-cron

CFEngine'e sahip olduğunuzdan, http://twitter.com/#!/CentOS_Announc adresindeki güvenlik güncellemelerine göre sistem gruplarına değişiklik uygulayabilirsiniz.

Ben orada en büyük sunucu güvenlik mühendisi değilim ... ama güvenlik söz konusu olduğunda sadece birkaç paketi önemsediğimi fark ettim. Halka açık (ssl, ssh, apache) veya büyük bir istismarın olduğu her şey öncelik kazanır. Diğer her şey üç ayda bir değerlendirilir. Bu paketlerin otomatik olarak yükseltilmesini istemiyorum çünkü güncellenmiş paketler bir üretim sistemindeki diğer öğeleri kırabilir.

Bilimsel Linux (en az 6.2 ve 6.3; 6.1 sistemim kalmadı) sadece desteklemiyor, yum-plugin-securityaynı zamanda için yapılandırma dosyası yum-autoupdate, /etc/sysconfig/yum-autoupdateyalnızca güvenlik güncelleştirmelerinin yüklenmesini etkinleştirmenize izin veriyor.

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"

CentOS'ta şunları kullanabilirsiniz:

yum list updates

yum-plugin-security yerine, ya da CentOS güvenlik haber akışlarına dayanan bu komut dosyası taramasını denemek isteyebilirsiniz: LVPS .

Ayrıca create_updateinfo projesini de deneyebilirsiniz . CEFS projesi errata.latest.xmltarafından derlenen dosyayı işleyen ve updateinfo.xmlgüvenlik güncelleştirmeleri meta verileriyle dosya üreten bir python betiğidir . Daha sonra yerel CentOS 6 (7) güncelleme veri havuzunuza enjekte edebilirsiniz. createrepoKomut tarafından oluşturulan özel / yerel depolarla entegre etmek oldukça basittir :

• ile ayna depo reposynckomutu
• createrepokomutla yerel depo oluştur
• komut updateinfo.xmldosyasıyla dosya indirme ve oluşturmagenerate_updateinfo.py
• oluşturulan güvenlik güncelleştirmeleri meta verilerini modifyrepokomutla yerel deponuza enjekte edin

CentOS6'da yum-security eklentisini kullanabilirsiniz:

yum install yum-security

Şununla kontrol et:

yum --security check-update

Güvenlik güncelleştirmesi yoksa bu komut 0 kodunu döndürür.

Yum-cron ile birlikte, / etc / sysconfig / yum-cron dosyasını değiştirerek yalnızca mevcut güvenlik güncelleştirmelerinde bir e-posta alabilirsiniz:

YUM_PARAMETER="--security"