18 votos

¿Comprobar automáticamente las actualizaciones de seguridad en CentOS o Scientific Linux?

Tenemos máquinas que ejecutan RedHat basados en distribuciones como CentOS o Scientific Linux. Queremos que los sistemas para notificar automáticamente a nosotros si hay alguna de las vulnerabilidades conocidas de los paquetes instalados. FreeBSD hace con los puertos-mgmt/portaudit puerto.

RedHat proporciona yum-plugin-la seguridad, lo que puede verificar vulnerabilidades por su Bugzilla ID, CVE ID o asesor de IDENTIFICACIÓN. Además, Fedora recientemente ha empezado a apoyar yum-plugin-seguridad. Creo que este fue añadido en Fedora 16.

Scientific Linux 6 no apoyo yum-plugin de seguridad como las de finales de 2011. Hace nave con /etc/cron.daily/yum-autoupdate, que actualiza RPMs diaria. No creo que este asas únicamente las Actualizaciones de Seguridad, sin embargo.

CentOS no no apoyo yum-plugin-security.

Puedo controlar el CentOS y Scientific Linux, listas de correo, actualizaciones, pero esto es tedioso y quiero algo que puede ser automatizado.

Para aquellos de nosotros que mantener CentOS y sistemas SL, existen herramientas que pueden:

  1. Automáticamente (Progamatically, a través de cron) nos informan si hay vulnerabilidades conocidas con mi actual Rpm.
  2. Opcionalmente, instalar automáticamente el mínimo de actualización necesarios para abordar de una vulnerabilidad de seguridad, que probablemente sería yum update-minimal --security en la línea de comandos?

Me han considerado el uso de yum-plugin-changelog imprimir la lista de cambios para cada paquete y, a continuación, analizar el resultado de ciertas cadenas. Existen herramientas que hacen esto ya?

5voto

Stefan Lasiewski Puntos 10566

Scientific Linux pueden ahora de la lista de actualizaciones de seguridad desde la línea de comandos. Además puedo actualizar un sistema para que sólo se aplican las actualizaciones de seguridad, lo que es mejor, a continuación, el valor predeterminado ("Acabo de actualizar todo! Incluyendo correcciones de errores que no le importa y que introducir las regresiones."

He probado esto en tanto Scientific Linux 6.1 y 6.4. No estoy seguro de que cuando esto fue anunciado oficialmente, pero voy a publicar más cuando lo descubra.

Aquí están algunos ejemplos.

Lista un resumen de las actualizaciones de seguridad:

[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

Lista de CVE:

[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

Y luego puedo aplicar los cambios mínimos necesarios para

[root@node1 ~]# yum update-minimal --security

O, simplemente, parche de todo:

[root@node1 ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[root@node1 ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[root@node1 ~]#

Si pruebo con este mismo comando en un CentOS6 cuadro, yo no se obtiene ningún resultado. Sé que es un hecho que algunos de los '137 paquetes disponibles contienen revisiones de seguridad, porque he recibido la fe de erratas avisos de ayer a través de las listas de correo CentOS.

[root@node1 ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#

2voto

Tina Puntos 21

Puesto que usted tiene CFEngine, puede aplicar los cambios a los grupos de sistemas en el tiempo basado en las actualizaciones de seguridad publicadas en: http://twitter.com/#!/CentOS_Announce

Yo no soy el mayor servidor de ingeniero de seguridad... pero yo tiendo a encontrar que lo único que importa un par de paquetes cuando se trata de seguridad. Nada de lo que el público (ssl, ssh, apache) o tiene un importante explotar recibe prioridad. Todo lo demás es evaluada trimestralmente. No quiero que estas cosas se actualizan automáticamente debido a que los paquetes de actualización pueden romper otros elementos de un sistema de producción.

2voto

Joshua Hoblitt Puntos 615

Scientific Linux (por lo menos 6.2 y 6.3; No me queda ningún 6,1 sistema) no sólo es compatible con yum-plugin-security pero el archivo de configuración para yum-autoupdate , /etc/sysconfig/yum-autoupdate , permite activar sólo la instalación de actualizaciones de seguridad.

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"

1voto

Not Now Puntos 2637

Si usted no desea utilizar yum security plugin, hay una manera de hacerlo, aunque un poco laborioso. Pero una vez que el programa de instalación, todo automatizado.

El único requisito es que usted tendrá que tener al menos una suscripción a RHN. Que es una buena inversión de la OMI, pero le permite pegarse a el punto.

  1. Una vez que usted tiene la suscripción, puede utilizar mrepo, o reposync, para la instalación de un casa Yum repo, que refleja los repos de CentOS. (o podría simplemente utilizar rsync).
  2. A continuación, utilice la secuencia de comandos se adjunta a esta lista de correo de post, para conectarse periódicamente a su RHN suscripción, para la descarga de paquetes de seguridad de la información. Ahora tienes dos opciones.
    1. Extraer sólo los nombres de los paquetes desde el generado "updateinfo.xml" archivo. Y utilizar esa información para "buscar" a los servidores para los Rpms de la necesidad de seguridad o actualizaciones, el uso de títeres o cfengine, o ssh-en-una-de-loop. Esto es más simple, le da todo lo que desea, pero no puede usar yum security.
    2. La otra opción es el uso de la modifyrepo de comandos, como se muestra aquí, para inyectar updateinfo.xml a repomd.xml. Antes de hacer esto, usted tendrá que modificar el script en perl para cambiar las Rpm sumas MD5 dentro del xml, a partir de la RHN para Centos sumas. Y usted tendrá que asegurarse de que si los repos de CentOS en realidad tiene todos los Rpms mencionado en updateinfo.xml, ya que están detrás de RHN a veces. Pero eso está bien, puede ignorar las actualizaciones de CentOS no ha atrapado, como poco se puede hacer al respecto, corto de construcción de SRPMs.

Con la opción 2, se puede instalar yum security plugin en todos los clientes, y va a trabajar.

Edit: Esto también funciona para Redhat RHEL 5 y 6 máquinas. Y es más simple que el uso de un peso pesado de la solución como la caminata espacial o de la Pulpa.

-2voto

Lars Windolf Puntos 21

Puede utilizar en CentOS

yum list updates

en lugar de yum-plugin-seguridad, o tal vez quieres probar este script análisis basado en fuentes de noticias de seguridad CentOS: LVPS.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: