On 10/22/2015 11:47 PM, Catalin Muresan wrote:
> Salut,
>
> 2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>:
>
>> Salutare,
>>
>> Am fost însărcinat de către upper management să găsesc și să implementez o
>> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai exact
>> să scaneze softwareul instalat și să raporteze dacălipsesc anumite
>> update-uri din sistem.
>>
> pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa ai
Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie 
cu MULT prea ampla fata de ceea ce are nevoie


> "raport" cu clasificarea RedHat (security, critical, major, bug,
> enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in
> security advisory (mailing list sau altele) care arata ceva de genul:
>
> Advisory URL:      https://rhn.redhat.com/errata/RHSA-2015-1928.html
>
> DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul într-un
de fapt in  RHEL si clone ( CentOS si SL, nu stiu de OEL) exista
        yum install scap-security-guide openscap-scanner
dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic


>> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management
>> system care să zică că sistemul e vulnerabil la shellshock, heartbleed sau
>> CVE1234.
>>
> Din experienta astea sunt povesti upper management (CYA) care nu au nici un
> fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l
> citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si gata.
> Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai
> bine.
>
>
>> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un sistem și
>> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am
>> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când a
>> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că
>> totul e open source acum...</friday>).
faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le 
explici diferenta dintre free beer si free speech


>>
>> Din ce am mai căutat am găsit open-scap (
>> http://open-scap.org/page/Main_Page)
>> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar
>> trebui să facă o treabă decentă de scanare șiraportare. Problema e că pare
>> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de
>> configurare potrivite.
https://www.debian.org/security/oval/
https://wiki.debian.org/DebianOval


>>
> Nu am incercat
> https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk
>
>
>> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut
>> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă
>> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de ani
>> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de injection
>> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile ăstea se
>> fac doar ca să existe niște hârtii la audit că suntem compliant...</rant>).
chestia asta cu compliance-ul pt audit depinde de la firma la firma mai 
mult decit de la tara la tara. eu in primavara incepusem sa implementez 
Common Criteria 4.1
Si nu doar de dragul de a cheltui citeva sute de mii de euro...


>> Ce alte tooluri ați folosit?
nessus, openscap pt scanare, aide pt intrusion.


_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui