On 10/22/2015 11:47 PM, Catalin Muresan wrote: > Salut, > > 2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>: > >> Salutare, >> >> Am fost însărcinat de către upper management să găsesc și să implementez o >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai exact >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite >> update-uri din sistem. >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa ai Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie cu MULT prea ampla fata de ceea ce are nevoie
> "raport" cu clasificarea RedHat (security, critical, major, bug, > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in > security advisory (mailing list sau altele) care arata ceva de genul: > > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html > > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul într-un de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista yum install scap-security-guide openscap-scanner dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed sau >> CVE1234. >> > Din experienta astea sunt povesti upper management (CYA) care nu au nici un > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si gata. > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai > bine. > > >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un sistem și >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când a >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că >> totul e open source acum...</friday>). faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le explici diferenta dintre free beer si free speech >> >> Din ce am mai căutat am găsit open-scap ( >> http://open-scap.org/page/Main_Page) >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că pare >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de >> configurare potrivite. https://www.debian.org/security/oval/ https://wiki.debian.org/DebianOval >> > Nu am incercat > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > > >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut >> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de ani >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de injection >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile ăstea se >> fac doar ca să existe niște hârtii la audit că suntem compliant...</rant>). chestia asta cu compliance-ul pt audit depinde de la firma la firma mai mult decit de la tara la tara. eu in primavara incepusem sa implementez Common Criteria 4.1 Si nu doar de dragul de a cheltui citeva sute de mii de euro... >> Ce alte tooluri ați folosit? nessus, openscap pt scanare, aide pt intrusion. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug