Re: [rlug] Tool similar cu MBSA pentru Linux
Mulțumesc pentru debsecan. Pare ok, doar că e targetat pentru Debian only. L-am rulat pe Ubuntu 15.04 cu suite sid și a găsit 9832 de înregistrări. Nu mi-e încă clar dacă le arată doar pe cele vulnerabile, sau și pe cele fixed... Dar mai sap... 2015-10-23 13:56 GMT+03:00 Iulian Murgulet : > În 2015-10-23 13:08, Adrian Popa a scris: > > Mulțumesc pentru răspunsuri. > > > > Am găsit un template de openscap pentru Ubuntu ( > > https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe > > sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în > > schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte > > văd > > openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să > > înțeleg cum să combin definițiile. > > > > Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai > > folosit verificările "stock" din scap-security-guide? Sau ai definit un > > template custom de verificări pentru rolul serverului tău (pentru > > server de > > mysql fac verificările X, pentru server web verificările Y, etc)? > > Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? > > > > Numai bine, > > > > 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant > > > > : > > > >> On 10/22/2015 11:47 PM, Catalin Muresan wrote: > >> > Salut, > >> > > >> > 2015-10-22 20:38 GMT+01:00 Adrian Popa : > >> > > >> >> Salutare, > >> >> > >> >> Am fost însărcinat de către upper management să găsesc și să > >> implementez o > >> >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai > >> exact > >> >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite > >> >> update-uri din sistem. > >> >> > >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o > sa > >> ai > >> Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie > >> cu MULT prea ampla fata de ceea ce are nevoie > >> > >> > >> > "raport" cu clasificarea RedHat (security, critical, major, bug, > >> > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in > >> > security advisory (mailing list sau altele) care arata ceva de genul: > >> > > >> > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html > >> > > >> > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul > >> într-un > >> de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista > >> yum install scap-security-guide openscap-scanner > >> dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic > >> > >> > >> >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management > >> >> system care să zică că sistemul e vulnerabil la shellshock, > heartbleed > >> sau > >> >> CVE1234. > >> >> > >> > Din experienta astea sunt povesti upper management (CYA) care nu au > nici > >> un > >> > fel de folos la final, o sa te dai peste cap sa faci un raport care > nu-l > >> > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si > >> gata. > >> > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult > mai > >> > bine. > >> > > >> > > >> >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un > >> sistem și > >> >> poate compara cu baza de date CVE. Problema e că e nevoie de licență > (am > >> >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De > când > >> a > >> >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv > că > >> >> totul e open source acum...). > >> faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le > >> explici diferenta dintre free beer si free speech > >> > >> > >> >> > >> >> Din ce am mai căutat am găsit open-scap ( > >> >> http://open-scap.org/page/Main_Page) > >> >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, > ar > >> >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că > >> pare > >> >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de > >> >> configurare potrivite. > >> https://www.debian.org/security/oval/ > >> https://wiki.debian.org/DebianOval > >> > >> > >> >> > >> > Nu am incercat > >> > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > >> > > >> > > >> >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de > făcut > >> >> treaba asta (oricum, cred că e un exercițiu inutil - chiar dacă > >> >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL > de > >> ani > >> >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de > >> injection > >> >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile > >> ăstea se > >> >> fac doar ca să existe niște hârtii la audit că suntem > >> compliant...). > >> chestia asta cu compliance-ul pt audit depinde de la firma la firma > >> mai > >> mult decit de la tara la tara. eu in primavara incepusem sa > >> implementez > >> Common Criteria 4.1 > >> Si nu doar de dragul de a cheltui citeva sute de mii de euro... > >> > >> > >> >> Ce alte tooluri ați f
Re: [rlug] Tool similar cu MBSA pentru Linux
În 2015-10-23 13:08, Adrian Popa a scris: > Mulțumesc pentru răspunsuri. > > Am găsit un template de openscap pentru Ubuntu ( > https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe > sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în > schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte > văd > openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să > înțeleg cum să combin definițiile. > > Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai > folosit verificările "stock" din scap-security-guide? Sau ai definit un > template custom de verificări pentru rolul serverului tău (pentru > server de > mysql fac verificările X, pentru server web verificările Y, etc)? > Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? > > Numai bine, > > 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant > > : > >> On 10/22/2015 11:47 PM, Catalin Muresan wrote: >> > Salut, >> > >> > 2015-10-22 20:38 GMT+01:00 Adrian Popa : >> > >> >> Salutare, >> >> >> >> Am fost însărcinat de către upper management să găsesc și să >> implementez o >> >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai >> exact >> >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite >> >> update-uri din sistem. >> >> >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa >> ai >> Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie >> cu MULT prea ampla fata de ceea ce are nevoie >> >> >> > "raport" cu clasificarea RedHat (security, critical, major, bug, >> > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in >> > security advisory (mailing list sau altele) care arata ceva de genul: >> > >> > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html >> > >> > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul >> într-un >> de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista >> yum install scap-security-guide openscap-scanner >> dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic >> >> >> >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management >> >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed >> sau >> >> CVE1234. >> >> >> > Din experienta astea sunt povesti upper management (CYA) care nu au nici >> un >> > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l >> > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si >> gata. >> > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai >> > bine. >> > >> > >> >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un >> sistem și >> >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am >> >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când >> a >> >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că >> >> totul e open source acum...). >> faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le >> explici diferenta dintre free beer si free speech >> >> >> >> >> >> Din ce am mai căutat am găsit open-scap ( >> >> http://open-scap.org/page/Main_Page) >> >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar >> >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că >> pare >> >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de >> >> configurare potrivite. >> https://www.debian.org/security/oval/ >> https://wiki.debian.org/DebianOval >> >> >> >> >> > Nu am incercat >> > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk >> > >> > >> >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut >> >> treaba asta (oricum, cred că e un exercițiu inutil - chiar dacă >> >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de >> ani >> >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de >> injection >> >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile >> ăstea se >> >> fac doar ca să existe niște hârtii la audit că suntem >> compliant...). >> chestia asta cu compliance-ul pt audit depinde de la firma la firma >> mai >> mult decit de la tara la tara. eu in primavara incepusem sa >> implementez >> Common Criteria 4.1 >> Si nu doar de dragul de a cheltui citeva sute de mii de euro... >> >> >> >> Ce alte tooluri ați folosit? >> nessus, openscap pt scanare, aide pt intrusion. ossec, care mie mi se parte peste aide, subiectiv fiind ;) >> >> >> ___ >> RLUG mailing list >> RLUG@lists.lug.ro >> http://lists.lug.ro/mailman/listinfo/rlug >> > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ATENTIONARI = - pentru atasamente tip Office va rugam sa fo
Re: [rlug] Tool similar cu MBSA pentru Linux
În 2015-10-23 13:08, Adrian Popa a scris: > Mulțumesc pentru răspunsuri. > > Am găsit un template de openscap pentru Ubuntu ( > https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe > sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în > schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte > văd > openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să > înțeleg cum să combin definițiile. > > Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai > folosit verificările "stock" din scap-security-guide? Sau ai definit un > template custom de verificări pentru rolul serverului tău (pentru > server de > mysql fac verificările X, pentru server web verificările Y, etc)? > Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? > > Numai bine, > > 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant > > : > >> On 10/22/2015 11:47 PM, Catalin Muresan wrote: >> > Salut, >> > >> > 2015-10-22 20:38 GMT+01:00 Adrian Popa : >> > >> >> Salutare, >> >> >> >> Am fost însărcinat de către upper management să găsesc și să >> implementez o >> >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai >> exact >> >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite >> >> update-uri din sistem. >> >> >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa >> ai >> Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie >> cu MULT prea ampla fata de ceea ce are nevoie >> >> >> > "raport" cu clasificarea RedHat (security, critical, major, bug, >> > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in >> > security advisory (mailing list sau altele) care arata ceva de genul: >> > >> > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html >> > >> > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul >> într-un >> de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista >> yum install scap-security-guide openscap-scanner >> dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic >> >> >> >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management >> >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed >> sau >> >> CVE1234. >> >> >> > Din experienta astea sunt povesti upper management (CYA) care nu au nici >> un >> > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l >> > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si >> gata. >> > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai >> > bine. >> > >> > >> >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un >> sistem și >> >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am >> >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când >> a >> >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că >> >> totul e open source acum...). >> faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le >> explici diferenta dintre free beer si free speech >> >> >> >> >> >> Din ce am mai căutat am găsit open-scap ( >> >> http://open-scap.org/page/Main_Page) >> >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar >> >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că >> pare >> >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de >> >> configurare potrivite. >> https://www.debian.org/security/oval/ >> https://wiki.debian.org/DebianOval >> >> >> >> >> > Nu am incercat >> > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk >> > >> > >> >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut >> >> treaba asta (oricum, cred că e un exercițiu inutil - chiar dacă >> >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de >> ani >> >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de >> injection >> >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile >> ăstea se >> >> fac doar ca să existe niște hârtii la audit că suntem >> compliant...). >> chestia asta cu compliance-ul pt audit depinde de la firma la firma >> mai >> mult decit de la tara la tara. eu in primavara incepusem sa >> implementez >> Common Criteria 4.1 >> Si nu doar de dragul de a cheltui citeva sute de mii de euro... >> >> >> >> Ce alte tooluri ați folosit? >> nessus, openscap pt scanare, aide pt intrusion. >> Poate asta te aranjeaza: http://www.enyo.de/fw/software/debsecan/ debsecan --suite sid --format detail CVE-2005-1119 (low urgency) Sudo VISudo 1.6.8 and earlier allows local users to corrupt arbitrary ... installed: sudo 1.6.8p9-4 (built from sudo 1.6.8p9-4) fixed package: not yet available CVE-2005-4158 (medium urgency) Sudo before 1.6.8 p12, when the Perl taint flag is off, does not clear ... installed: sudo 1.6.8p9-4
Re: [rlug] Tool similar cu MBSA pentru Linux
Mulțumesc pentru răspunsuri. Am găsit un template de openscap pentru Ubuntu ( https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte văd openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să înțeleg cum să combin definițiile. Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai folosit verificările "stock" din scap-security-guide? Sau ai definit un template custom de verificări pentru rolul serverului tău (pentru server de mysql fac verificările X, pentru server web verificările Y, etc)? Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? Numai bine, 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant : > On 10/22/2015 11:47 PM, Catalin Muresan wrote: > > Salut, > > > > 2015-10-22 20:38 GMT+01:00 Adrian Popa : > > > >> Salutare, > >> > >> Am fost însărcinat de către upper management să găsesc și să > implementez o > >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai > exact > >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite > >> update-uri din sistem. > >> > > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa > ai > Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie > cu MULT prea ampla fata de ceea ce are nevoie > > > > "raport" cu clasificarea RedHat (security, critical, major, bug, > > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in > > security advisory (mailing list sau altele) care arata ceva de genul: > > > > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html > > > > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul > într-un > de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista > yum install scap-security-guide openscap-scanner > dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic > > > >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management > >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed > sau > >> CVE1234. > >> > > Din experienta astea sunt povesti upper management (CYA) care nu au nici > un > > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l > > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si > gata. > > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai > > bine. > > > > > >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un > sistem și > >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am > >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când > a > >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că > >> totul e open source acum...). > faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le > explici diferenta dintre free beer si free speech > > > >> > >> Din ce am mai căutat am găsit open-scap ( > >> http://open-scap.org/page/Main_Page) > >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar > >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că > pare > >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de > >> configurare potrivite. > https://www.debian.org/security/oval/ > https://wiki.debian.org/DebianOval > > > >> > > Nu am incercat > > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > > > > > >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut > >> treaba asta (oricum, cred că e un exercițiu inutil - chiar dacă > >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de > ani > >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de > injection > >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile > ăstea se > >> fac doar ca să existe niște hârtii la audit că suntem > compliant...). > chestia asta cu compliance-ul pt audit depinde de la firma la firma mai > mult decit de la tara la tara. eu in primavara incepusem sa implementez > Common Criteria 4.1 > Si nu doar de dragul de a cheltui citeva sute de mii de euro... > > > >> Ce alte tooluri ați folosit? > nessus, openscap pt scanare, aide pt intrusion. > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Tool similar cu MBSA pentru Linux
On 10/22/2015 11:47 PM, Catalin Muresan wrote: > Salut, > > 2015-10-22 20:38 GMT+01:00 Adrian Popa : > >> Salutare, >> >> Am fost însărcinat de către upper management să găsesc și să implementez o >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai exact >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite >> update-uri din sistem. >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa ai Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie cu MULT prea ampla fata de ceea ce are nevoie > "raport" cu clasificarea RedHat (security, critical, major, bug, > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in > security advisory (mailing list sau altele) care arata ceva de genul: > > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html > > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul într-un de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista yum install scap-security-guide openscap-scanner dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed sau >> CVE1234. >> > Din experienta astea sunt povesti upper management (CYA) care nu au nici un > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si gata. > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai > bine. > > >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un sistem și >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când a >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că >> totul e open source acum...). faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le explici diferenta dintre free beer si free speech >> >> Din ce am mai căutat am găsit open-scap ( >> http://open-scap.org/page/Main_Page) >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că pare >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de >> configurare potrivite. https://www.debian.org/security/oval/ https://wiki.debian.org/DebianOval >> > Nu am incercat > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > > >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut >> treaba asta (oricum, cred că e un exercițiu inutil - chiar dacă >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de ani >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de injection >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile ăstea se >> fac doar ca să existe niște hârtii la audit că suntem compliant...). chestia asta cu compliance-ul pt audit depinde de la firma la firma mai mult decit de la tara la tara. eu in primavara incepusem sa implementez Common Criteria 4.1 Si nu doar de dragul de a cheltui citeva sute de mii de euro... >> Ce alte tooluri ați folosit? nessus, openscap pt scanare, aide pt intrusion. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Tool similar cu MBSA pentru Linux
Salut, 2015-10-22 20:38 GMT+01:00 Adrian Popa : > Salutare, > > Am fost însărcinat de către upper management să găsesc și să implementez o > soluție open source care "să facă ce face și MBSA-ul pe Windows", mai exact > să scaneze softwareul instalat și să raporteze dacă lipsesc anumite > update-uri din sistem. > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa ai "raport" cu clasificarea RedHat (security, critical, major, bug, enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in security advisory (mailing list sau altele) care arata ceva de genul: Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul într-un > linux din ultimii 10 ani. Ce par să vrea e defapt un patch management > system care să zică că sistemul e vulnerabil la shellshock, heartbleed sau > CVE1234. > Din experienta astea sunt povesti upper management (CYA) care nu au nici un fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si gata. Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai bine. > Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un sistem și > poate compara cu baza de date CVE. Problema e că e nevoie de licență (am > uitat să menționez că bugetul pentru treaba asta e zero barat... De când a > intrat linuxul în domeniile corporate, bugetele IT au scăzut pe motiv că > totul e open source acum...). > > Din ce am mai căutat am găsit open-scap ( > http://open-scap.org/page/Main_Page) > care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar > trebui să facă o treabă decentă de scanare și raportare. Problema e că pare > să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de > configurare potrivite. > Nu am incercat https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > > Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut > treaba asta (oricum, cred că e un exercițiu inutil - chiar dacă > descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de ani > buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de injection > attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile ăstea se > fac doar ca să existe niște hârtii la audit că suntem compliant...). > Ce alte tooluri ați folosit? > Nu trebuie sa aplici tot, doar cele clasificate critical/security. > > În plimbările pe internet am mai găsit chestia asta care pare destul de > utilă pentru o analiză de bun simț a unui server (dar neexhaustivă): > https://github.com/davewood/buck-security > > Mulțumesc de sugestii, > Adrian > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug