Mulțumesc pentru răspunsuri. Am găsit un template de openscap pentru Ubuntu ( https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte văd openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să înțeleg cum să combin definițiile.
Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai folosit verificările "stock" din scap-security-guide? Sau ai definit un template custom de verificări pentru rolul serverului tău (pentru server de mysql fac verificările X, pentru server web verificările Y, etc)? Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? Numai bine, 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant <[email protected]> : > On 10/22/2015 11:47 PM, Catalin Muresan wrote: > > Salut, > > > > 2015-10-22 20:38 GMT+01:00 Adrian Popa <[email protected]>: > > > >> Salutare, > >> > >> Am fost însărcinat de către upper management să găsesc și să > implementez o > >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai > exact > >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite > >> update-uri din sistem. > >> > > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o sa > ai > Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie > cu MULT prea ampla fata de ceea ce are nevoie > > > > "raport" cu clasificarea RedHat (security, critical, major, bug, > > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in > > security advisory (mailing list sau altele) care arata ceva de genul: > > > > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html > > > > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul > într-un > de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista > yum install scap-security-guide openscap-scanner > dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic > > > >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management > >> system care să zică că sistemul e vulnerabil la shellshock, heartbleed > sau > >> CVE1234. > >> > > Din experienta astea sunt povesti upper management (CYA) care nu au nici > un > > fel de folos la final, o sa te dai peste cap sa faci un raport care nu-l > > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si > gata. > > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult mai > > bine. > > > > > >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un > sistem și > >> poate compara cu baza de date CVE. Problema e că e nevoie de licență (am > >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De când > a > >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv că > >> totul e open source acum...</friday>). > faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le > explici diferenta dintre free beer si free speech > > > >> > >> Din ce am mai căutat am găsit open-scap ( > >> http://open-scap.org/page/Main_Page) > >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, ar > >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că > pare > >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de > >> configurare potrivite. > https://www.debian.org/security/oval/ > https://wiki.debian.org/DebianOval > > > >> > > Nu am incercat > > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > > > > > >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de făcut > >> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă > >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL de > ani > >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de > injection > >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile > ăstea se > >> fac doar ca să existe niște hârtii la audit că suntem > compliant...</rant>). > chestia asta cu compliance-ul pt audit depinde de la firma la firma mai > mult decit de la tara la tara. eu in primavara incepusem sa implementez > Common Criteria 4.1 > Si nu doar de dragul de a cheltui citeva sute de mii de euro... > > > >> Ce alte tooluri ați folosit? > nessus, openscap pt scanare, aide pt intrusion. > > > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
