Salut,

2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>:

> Salutare,
>
> Am fost însărcinat de către upper management să găsesc și să implementez o
> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai exact
> să scaneze softwareul instalat și să raporteze dacă lipsesc anumite
> update-uri din sistem.
>

pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa ai
"raport" cu clasificarea RedHat (security, critical, major, bug,
enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in
security advisory (mailing list sau altele) care arata ceva de genul:

Advisory URL:      https://rhn.redhat.com/errata/RHSA-2015-1928.html

DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul într-un
> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management
> system care să zică că sistemul e vulnerabil la shellshock, heartbleed sau
> CVE1234.
>

Din experienta astea sunt povesti upper management (CYA) care nu au nici un
fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l
citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si gata.
Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai
bine.


> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un sistem și
> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am
> uitat să menționez că bugetul pentru treaba asta e zero barat... De când a
> intrat linuxul în domeniile corporate, bugetele IT au scăzut pe motiv că
> totul e open source acum...</friday>).
>
> Din ce am mai căutat am găsit open-scap (
> http://open-scap.org/page/Main_Page)
> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar
> trebui să facă o treabă decentă de scanare și raportare. Problema e că pare
> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de
> configurare potrivite.
>

Nu am incercat
https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk


>
> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut
> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă
> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de ani
> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de injection
> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile ăstea se
> fac doar ca să existe niște hârtii la audit că suntem compliant...</rant>).
> Ce alte tooluri ați folosit?
>

Nu trebuie sa aplici tot, doar cele clasificate critical/security.


>
> În plimbările pe internet am mai găsit chestia asta care pare destul de
> utilă pentru o analiză de bun simț a unui server (dar neexhaustivă):
> https://github.com/davewood/buck-security
>
> Mulțumesc de sugestii,
> Adrian
> _______________________________________________
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug
>
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui