În 2015-10-23 13:08, Adrian Popa a scris:
> Mulțumesc pentru răspunsuri.
> 
> Am găsit un template de openscap pentru Ubuntu (
> https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe
> sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în
> schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte 
> văd
> openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să
> înțeleg cum să combin definițiile.
> 
> Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai
> folosit verificările "stock" din scap-security-guide? Sau ai definit un
> template custom de verificări pentru rolul serverului tău (pentru 
> server de
> mysql fac verificările X, pentru server web verificările Y, etc)?
> Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)?
> 
> Numai bine,
> 
> 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant 
> <wo...@prolinux.ro>
> :
> 
>> On 10/22/2015 11:47 PM, Catalin Muresan wrote:
>> > Salut,
>> >
>> > 2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>:
>> >
>> >> Salutare,
>> >>
>> >> Am fost însărcinat de către upper management să găsesc și să
>> implementez o
>> >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai
>> exact
>> >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite
>> >> update-uri din sistem.
>> >>
>> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa
>> ai
>> Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie
>> cu MULT prea ampla fata de ceea ce are nevoie
>> 
>> 
>> > "raport" cu clasificarea RedHat (security, critical, major, bug,
>> > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in
>> > security advisory (mailing list sau altele) care arata ceva de genul:
>> >
>> > Advisory URL:      https://rhn.redhat.com/errata/RHSA-2015-1928.html
>> >
>> > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul
>> într-un
>> de fapt in  RHEL si clone ( CentOS si SL, nu stiu de OEL) exista
>>         yum install scap-security-guide openscap-scanner
>> dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic
>> 
>> 
>> >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management
>> >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed
>> sau
>> >> CVE1234.
>> >>
>> > Din experienta astea sunt povesti upper management (CYA) care nu au nici
>> un
>> > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l
>> > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si
>> gata.
>> > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai
>> > bine.
>> >
>> >
>> >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un
>> sistem și
>> >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am
>> >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când
>> a
>> >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că
>> >> totul e open source acum...</friday>).
>> faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le
>> explici diferenta dintre free beer si free speech
>> 
>> 
>> >>
>> >> Din ce am mai căutat am găsit open-scap (
>> >> http://open-scap.org/page/Main_Page)
>> >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar
>> >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că
>> pare
>> >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de
>> >> configurare potrivite.
>> https://www.debian.org/security/oval/
>> https://wiki.debian.org/DebianOval
>> 
>> 
>> >>
>> > Nu am incercat
>> > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk
>> >
>> >
>> >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut
>> >> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă
>> >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de
>> ani
>> >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de
>> injection
>> >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile
>> ăstea se
>> >> fac doar ca să existe niște hârtii la audit că suntem
>> compliant...</rant>).
>> chestia asta cu compliance-ul pt audit depinde de la firma la firma 
>> mai
>> mult decit de la tara la tara. eu in primavara incepusem sa 
>> implementez
>> Common Criteria 4.1
>> Si nu doar de dragul de a cheltui citeva sute de mii de euro...
>> 
>> 
>> >> Ce alte tooluri ați folosit?
>> nessus, openscap pt scanare, aide pt intrusion.



ossec, care mie mi se parte peste aide, subiectiv fiind ;)




>> 
>> 
>> _______________________________________________
>> RLUG mailing list
>> RLUG@lists.lug.ro
>> http://lists.lug.ro/mailman/listinfo/rlug
>> 
> _______________________________________________
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug

================================ ATENTIONARI =============================

- pentru atasamente tip Office va rugam sa folositi format OFFICE 97;
- nu trimiteti date personale (CNP, copii dupa acte de identitate etc).

 O lista completa cu reguli de utilizare exista la:

http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106

C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov
[web-site]: http://www.casbv.ro
[forum]: http://gw.casbv.ro/forum_smf/index.php

==========================================================================

_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui