CentOS या वैज्ञानिक लिनक्स पर सुरक्षा अपडेट के लिए स्वचालित रूप से जांच करें?

हमारे पास RedHat-based distros जैसे CentOS या वैज्ञानिक Linux चलाने वाली मशीनें हैं। हम चाहते हैं कि सिस्टम स्वचालित रूप से हमें सूचित करें यदि स्थापित पैकेजों में कोई ज्ञात भेद्यता है। FreeBSD बंदरगाहों-mgmt / portaudit पोर्ट के साथ ऐसा करता है ।

RedHat yum-plugin-security प्रदान करता है , जो अपनी Bugzilla ID, CVE ID या सलाहकार ID द्वारा कमजोरियों की जांच कर सकता है । इसके अलावा, फेडोरा ने हाल ही में यम-प्लगइन-सुरक्षा का समर्थन करना शुरू किया । मेरा मानना ​​है कि यह फेडोरा 16 में जोड़ा गया था।

2011 के अंत तक वैज्ञानिक लिनक्स 6 ने यम-प्लगइन-सुरक्षा का समर्थन नहीं किया । यह शिप करता है /etc/cron.daily/yum-autoupdate, जो आरपीएम को प्रतिदिन अपडेट करता है । मुझे नहीं लगता कि यह केवल सुरक्षा अपडेट को संभालता है, हालांकि।

CentOS समर्थन नहीं करता हैyum-plugin-security ।

मैं अपडेट के लिए CentOS और वैज्ञानिक लिनक्स मेलिंगलिस्ट की निगरानी करता हूं, लेकिन यह थकाऊ है और मैं ऐसा कुछ चाहता हूं जिसे स्वचालित किया जा सके।

हममें से जो CentOS और SL सिस्टम को बनाए रखते हैं, क्या उनके लिए कोई उपकरण हैं:

1. स्वचालित रूप से (प्रोमेटिक रूप से, क्रोन के माध्यम से) हमें सूचित करें कि क्या मेरे वर्तमान RPM के साथ ज्ञात कमजोरियाँ हैं।
2. वैकल्पिक रूप से, सुरक्षा भेद्यता को संबोधित करने के लिए आवश्यक न्यूनतम अपग्रेड को स्वचालित रूप से इंस्टॉल करें, जो संभवतः yum update-minimal --securityकमांडलाइन पर होगा ?

मैंने yum-plugin-changelogप्रत्येक पैकेज के लिए चैंज को प्रिंट करने के लिए उपयोग करने पर विचार किया है , और फिर कुछ तारों के लिए आउटपुट पार्स किया है। क्या कोई उपकरण हैं जो पहले से ही ऐसा करते हैं?

यदि आप पूरी तरह से उपयोग करना चाहते हैं yum security plugin, तो ऐसा करने का एक तरीका है, हालांकि थोड़ा विस्तृत है। लेकिन एक बार जब आप इसे सेटअप कर लेते हैं, यह सब स्वचालित हो जाता है।

एकमात्र आवश्यकता यह है कि आपको RHN में कम से कम एक सदस्यता की आवश्यकता होगी। जो एक अच्छा निवेश IMO है, लेकिन यह इस बिंदु पर टिकने देता है।

1. एक बार सदस्यता लेने के बाद, आप घर में यम रेपो, कि सेंटोस रेपो को दर्पण करने के लिए mrepo , या reposync का उपयोग कर सकते हैं । (या आप बस rsync का उपयोग कर सकते हैं)।
2. फिर इस मेलिंग सूची पोस्ट से जुड़ी स्क्रिप्ट का उपयोग करें , समय-समय पर अपने RHN सदस्यता से जुड़ने के लिए, सुरक्षा संकुल जानकारी डाउनलोड करने के लिए। अब आपके पास दो विकल्प हैं।
   1. उत्पन्न "updateinfo.xml" फ़ाइल से सिर्फ पैकेज के नाम निकालें। और कठपुतली या cfengine, या ssh-in-in-the-loop का उपयोग कर सुरक्षा या अन्य अपडेट की आवश्यकता के लिए अपने सर्वर को "खोज" करने के लिए उस जानकारी का उपयोग करें। यह सरल है, आपको वह सब कुछ देता है जो आप चाहते हैं, लेकिन आप उपयोग नहीं कर सकते yum security।
   2. अन्य विकल्प का उपयोग करने के लिए है modifyrepoके रूप में दिखाया आदेश यहाँ , इंजेक्षन करने के लिए updateinfo.xmlमें repomd.xml। ऐसा करने से पहले , आपको RHN से Centos sums तक, Rml MD5 sums को xml के अंदर बदलने के लिए पर्ल स्क्रिप्ट को संशोधित करना होगा। और आपको यह सुनिश्चित करना होगा कि अगर CentOS repos के पास वास्तव में सभी Rpms हैं updateinfo.xml, जैसा कि वे कभी-कभी RHN के पीछे हैं। लेकिन यह ठीक है, आप उन अपडेट को अनदेखा कर सकते हैं जिन्हें CentOS ने नहीं पकड़ा है, क्योंकि आप इसके बारे में बहुत कम कर सकते हैं, SRPMs से इन्हें बनाने की कमी।

विकल्प 2 के साथ, आप yum securityसभी क्लाइंट पर प्लगइन स्थापित कर सकते हैं, और यह काम करेगा।

संपादित करें: यह रेडहैट आरएचईएल 5 और 6 मशीनों के लिए भी काम करता है। और स्पेसवॉक या पल्प जैसे भारी वजन समाधान का उपयोग करने की तुलना में सरल है।

वैज्ञानिक लिनक्स अब कमांडलाइन से सुरक्षा अद्यतन सूचीबद्ध कर सकते हैं। इसके अलावा मैं केवल सुरक्षा अद्यतन लागू करने के लिए एक प्रणाली को अपडेट कर सकता हूं, जो तब बेहतर होता है डिफ़ॉल्ट ("बस सब कुछ अपडेट करें! जिसमें बगफिक्स शामिल हैं, जिनके बारे में आप परवाह नहीं करते हैं और जो प्रतिगमन परिचय देते हैं।"

मैंने साइंटिफिक लिनक्स 6.1 और 6.4 दोनों पर यह परीक्षण किया है। मुझे यकीन नहीं है कि जब आधिकारिक तौर पर इसकी घोषणा की गई थी, लेकिन जब मुझे पता चलेगा तो मैं और पोस्ट करूंगा।

यहाँ कुछ उदाहरण हैं।

सुरक्षा अपडेट का सारांश सूचीबद्ध करें:

[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

सीवीई द्वारा सूची:

[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

और फिर मैं आवश्यक परिवर्तनों का न्यूनतम सेट लागू कर सकता हूं

[root@node1 ~]# yum update-minimal --security

या, बस सब कुछ पैच:

[root@node1 ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[root@node1 ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[root@node1 ~]#

अगर मैं CentOS6 बॉक्स पर यही आदेश देता हूं, तो मुझे कोई परिणाम नहीं मिलता है। मैं एक तथ्य के लिए जानता हूं कि '137 पैकेज उपलब्ध' में से कुछ में सुरक्षा सुधार शामिल हैं, क्योंकि मुझे कल CentOS मेलिंगलिस्ट्स के माध्यम से इरेटा नोटिस प्राप्त हुए थे।

[root@node1 ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#

मुझे भी यही समस्या थी। मैंने ऊपर उल्लेखित स्टेव-मीयर इरेटा साइट से यम अपडेट्स और एडवाइजर्स को एक साथ खींचने के लिए कुछ पायथन कोड बनाने का एक स्टैब लिया। (मैं इसे स्थापित पैकेजों के आधार पर फ़िल्टर करता हूं)।

मामले में यह मदद करता है, यहाँ स्रोत है: https://github.com/wied03/centos-package-cron

चूंकि आपके पास CFEngine है, इसलिए आप समय पर पोस्ट किए गए सुरक्षा अपडेट के आधार पर सिस्टम के समूहों में परिवर्तन लागू कर सकते हैं: http://twitter.com/# !/ CentOS_Announce

मैं वहां का सबसे बड़ा सर्वर सुरक्षा इंजीनियर नहीं हूं ... लेकिन मुझे लगता है कि मुझे केवल कुछ पैकेजों की परवाह है जब यह सुरक्षा की बात आती है। सार्वजनिक-सामना (ssl, ssh, apache) या किसी बड़े कारनामे के लिए किसी भी चीज को प्राथमिकता मिलती है। बाकी सब कुछ त्रैमासिक मूल्यांकन किया जाता है। मैं इन चीजों को स्वचालित रूप से उन्नत नहीं करना चाहता क्योंकि अद्यतन पैकेज संभावित रूप से एक उत्पादन प्रणाली पर अन्य वस्तुओं को तोड़ सकते हैं।

वैज्ञानिक लिनक्स, न केवल समर्थन करता है (कम से कम 6.2 और 6.3 मैं किसी भी 6.1 सिस्टम नहीं बचा है) yum-plugin-securityलेकिन के लिए के लिए विन्यास फाइल yum-autoupdate, /etc/sysconfig/yum-autoupdateकी अनुमति देता है आप केवल सुरक्षा अद्यतन की स्थापना के लिए सक्षम है।

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"

CentOS पर आप उपयोग कर सकते हैं

yum list updates

यम-प्लगइन-सुरक्षा के बजाय, या शायद आप इस स्क्रिप्ट स्कैनिंग को CentOS सुरक्षा समाचार फीड्स: LVPS के आधार पर आज़माना चाहते हैं ।

आप generate_updateinfo प्रोजेक्ट भी आज़मा सकते हैं । यह एक पायथन स्क्रिप्ट है जो CEFS प्रोजेक्ट errata.latest.xmlद्वारा संकलित की गई फ़ाइल को प्रोसेस करती है और updateinfo.xmlसुरक्षा अपडेट मेटाडेटा के साथ फाइल उत्पन्न करती है । फिर आप इसे अपने स्थानीय CentOS 6 (7) अपडेट रिपॉजिटरी में इंजेक्ट कर सकते हैं। createrepoकमांड द्वारा बनाए गए कस्टम / स्थानीय रिपॉजिटरी के साथ इसे एकीकृत करना बहुत सरल है :

• reposyncआदेश के साथ दर्पण भंडार
• createrepoआदेश के साथ स्थानीय भंडार बनाएँ
• डाउनलोड और स्क्रिप्ट के updateinfo.xmlसाथ फ़ाइल उत्पन्न करते हैंgenerate_updateinfo.py
• modifyrepoकमांड के साथ अपने स्थानीय रिपॉजिटरी में उत्पन्न सुरक्षा अपडेट मेटाडेटा को इंजेक्ट करें

CentOS6 पर, आप yum-security plugin का उपयोग कर सकते हैं:

yum install yum-security

इससे जाँच करें:

yum --security check-update

यदि कोई सुरक्षा अद्यतन उपलब्ध नहीं है, तो यह कमांड कोड 0 देता है।

यम-क्रोन के संयोजन में, आप केवल फ़ाइल / etc / sysconfig / yum-cron को संशोधित करके उपलब्ध सुरक्षा अपडेट पर एक ईमेल प्राप्त कर सकते हैं:

YUM_PARAMETER="--security"