Salut, 2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>:
> Salutare, > > Am fost însărcinat de către upper management să găsesc și să implementez o > soluție open source care "să facă ce face și MBSA-ul pe Windows", mai exact > să scaneze softwareul instalat și să raporteze dacă lipsesc anumite > update-uri din sistem. > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa ai "raport" cu clasificarea RedHat (security, critical, major, bug, enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in security advisory (mailing list sau altele) care arata ceva de genul: Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul într-un > linux din ultimii 10 ani. Ce par să vrea e defapt un patch management > system care să zică că sistemul e vulnerabil la shellshock, heartbleed sau > CVE1234. > Din experienta astea sunt povesti upper management (CYA) care nu au nici un fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si gata. Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai bine. > Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un sistem și > poate compara cu baza de date CVE. Problema e că e nevoie de licență (am > uitat să menționez că bugetul pentru treaba asta e zero barat... De când a > intrat linuxul în domeniile corporate, bugetele IT au scăzut pe motiv că > totul e open source acum...</friday>). > > Din ce am mai căutat am găsit open-scap ( > http://open-scap.org/page/Main_Page) > care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar > trebui să facă o treabă decentă de scanare și raportare. Problema e că pare > să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de > configurare potrivite. > Nu am incercat https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > > Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut > treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă > descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de ani > buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de injection > attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile ăstea se > fac doar ca să existe niște hârtii la audit că suntem compliant...</rant>). > Ce alte tooluri ați folosit? > Nu trebuie sa aplici tot, doar cele clasificate critical/security. > > În plimbările pe internet am mai găsit chestia asta care pare destul de > utilă pentru o analiză de bun simț a unui server (dar neexhaustivă): > https://github.com/davewood/buck-security > > Mulțumesc de sugestii, > Adrian > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug