În 2015-10-23 13:08, Adrian Popa a scris: > Mulțumesc pentru răspunsuri. > > Am găsit un template de openscap pentru Ubuntu ( > https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe > sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în > schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte > văd > openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să > înțeleg cum să combin definițiile. > > Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai > folosit verificările "stock" din scap-security-guide? Sau ai definit un > template custom de verificări pentru rolul serverului tău (pentru > server de > mysql fac verificările X, pentru server web verificările Y, etc)? > Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? > > Numai bine, > > 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant > <wo...@prolinux.ro> > : > >> On 10/22/2015 11:47 PM, Catalin Muresan wrote: >> > Salut, >> > >> > 2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>: >> > >> >> Salutare, >> >> >> >> Am fost însărcinat de către upper management să găsesc și să >> implementez o >> >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai >> exact >> >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite >> >> update-uri din sistem. >> >> >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa >> ai >> Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie >> cu MULT prea ampla fata de ceea ce are nevoie >> >> >> > "raport" cu clasificarea RedHat (security, critical, major, bug, >> > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in >> > security advisory (mailing list sau altele) care arata ceva de genul: >> > >> > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html >> > >> > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul >> într-un >> de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista >> yum install scap-security-guide openscap-scanner >> dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic >> >> >> >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management >> >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed >> sau >> >> CVE1234. >> >> >> > Din experienta astea sunt povesti upper management (CYA) care nu au nici >> un >> > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l >> > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si >> gata. >> > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai >> > bine. >> > >> > >> >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un >> sistem și >> >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am >> >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când >> a >> >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că >> >> totul e open source acum...</friday>). >> faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le >> explici diferenta dintre free beer si free speech >> >> >> >> >> >> Din ce am mai căutat am găsit open-scap ( >> >> http://open-scap.org/page/Main_Page) >> >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar >> >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că >> pare >> >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de >> >> configurare potrivite. >> https://www.debian.org/security/oval/ >> https://wiki.debian.org/DebianOval >> >> >> >> >> > Nu am incercat >> > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk >> > >> > >> >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut >> >> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă >> >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de >> ani >> >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de >> injection >> >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile >> ăstea se >> >> fac doar ca să existe niște hârtii la audit că suntem >> compliant...</rant>). >> chestia asta cu compliance-ul pt audit depinde de la firma la firma >> mai >> mult decit de la tara la tara. eu in primavara incepusem sa >> implementez >> Common Criteria 4.1 >> Si nu doar de dragul de a cheltui citeva sute de mii de euro... >> >> >> >> Ce alte tooluri ați folosit? >> nessus, openscap pt scanare, aide pt intrusion.
ossec, care mie mi se parte peste aide, subiectiv fiind ;) >> >> >> _______________________________________________ >> RLUG mailing list >> RLUG@lists.lug.ro >> http://lists.lug.ro/mailman/listinfo/rlug >> > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ================================ ATENTIONARI ============================= - pentru atasamente tip Office va rugam sa folositi format OFFICE 97; - nu trimiteti date personale (CNP, copii dupa acte de identitate etc). O lista completa cu reguli de utilizare exista la: http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106 C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov [web-site]: http://www.casbv.ro [forum]: http://gw.casbv.ro/forum_smf/index.php ========================================================================== _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
