Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Идея попинать мейнтейнера оказалась богатой и плодотворной: баг
поправлен, вышла новая версия.
On 13.05.2019 10:48, Konstantin Stefanov wrote:
Приветствую.
Есть у меня сервер с несколькими jail. В одном из джейлов для pkg
заведен репозиторий вот в такой конфигурации:
FreeBSD-latest: {
url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest;,
mirror_type: "srv",
signature_type: "fingerprints",
fingerprints: "/usr/share/keys/pkg",
enabled: yes,
priority: 1
}
И есть на это сервере пакет jailaudit, который, в принципе, должен для
всех джейлов сделать pkg audit, и результат выдать в ежедневную выдачу
security. И вот на этот джейл этот самый jailaudit вываливает кучу
сообщений типа
FreeBSD-latest.meta is vulnerable:
openssh -- multiple vulnerabilities
CVE: CVE-2006-5051
CVE: CVE-2006-4924
WWW:
https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html
с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты.
Небольшие разборки показали, что список пакетов (кроме стандартного pkg
query -a) jailaudit дополняет при помощи
ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v
'vuln.xml'
и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных
пакетов, после чего передается в pkg audit FreeBSD-latest.meta и
получается простыня непойми чего.
Собственно вопросы:
1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в
pkg audit, что там может быть такого интересного?
2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом
FreeBSD-latest.meta и содержимым за много-много лет?
3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще
один grep -v в скрипт?
Ну и может вообще у кого-то есть мысли по поводу?
--
Константин Стефанов,
Лаборатория параллельных информационных технологий НИВЦ МГУ
тел. +7 (495) 939-23-41
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Hello! On Tue, 14 May 2019 at 12:50:31 (+0300), Konstantin Stefanov wrote: > Ух, и впрямь! Интересно, как же я проверял? Сайт, что ли посмотрел? > Что-то у меня отложилось, что домена нет. Точно. -- George L. Yermulnik [YZ-RIPE] ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
On 14.05.2019 11:34, George L. Yermulnik wrote: Hello! On Tue, 14 May 2019 at 11:25:01 (+0300), Konstantin Stefanov wrote: Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и насколько безопасно. Увы, не выйдет: домен, в котором у него почта, больше не существует. Существует: # pwd /usr/ports/ports-mgmt/jailaudit # make -V MAINTAINER cryx-po...@h3q.com # host -t mx h3q.com h3q.com mail is handled by 10 mail.h3q.com. h3q.com mail is handled by 30 mail.h3q.de. # telnet mail.h3q.com. 25 Trying 213.73.89.199... Connected to mail.h3q.com. Escape character is '^]'. 220 mail.h3q.com ESMTP EHLO my.host 250-mail.h3q.com 250-STARTTLS 250-PIPELINING 250 8BITMIME mail from:<> 250 ok rcpt to: 250 ok quit 221 mail.h3q.com Connection closed by foreign host. Ух, и впрямь! Интересно, как же я проверял? Сайт, что ли посмотрел? Что-то у меня отложилось, что домена нет. Попробую написать. -- Константин Стефанов, Лаборатория параллельных информационных технологий НИВЦ МГУ тел. +7 (495) 939-23-41 ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Hello! On Tue, 14 May 2019 at 11:25:01 (+0300), Konstantin Stefanov wrote: > > Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и > > насколько безопасно. > Увы, не выйдет: домен, в котором у него почта, больше не существует. Существует: # pwd /usr/ports/ports-mgmt/jailaudit # make -V MAINTAINER cryx-po...@h3q.com # host -t mx h3q.com h3q.com mail is handled by 10 mail.h3q.com. h3q.com mail is handled by 30 mail.h3q.de. # telnet mail.h3q.com. 25 Trying 213.73.89.199... Connected to mail.h3q.com. Escape character is '^]'. 220 mail.h3q.com ESMTP EHLO my.host 250-mail.h3q.com 250-STARTTLS 250-PIPELINING 250 8BITMIME mail from:<> 250 ok rcpt to: 250 ok quit 221 mail.h3q.com Connection closed by foreign host. -- George L. Yermulnik [YZ-RIPE] ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
On 14.05.2019 11:15, George L. Yermulnik wrote: Hello! On Tue, 14 May 2019 at 09:41:09 (+0300), Konstantin Stefanov wrote: Как по мне, так если есть готовый пакет, который делает то, что мне надо, я поставлю его, и не буду потом при апгрейде вспоминать, что там за скрипты и почему что-то отвалилось. И сейчас мне проще поправить готовый скрипт, чем делать свое. Основной вопрос - зачем он все-таки смотрит в /var/db/pkg (может, там раньше что-то было, по чему можно определить имена установленных пакетов) и насколько безопасно ему это оторвать? Только я вижу в этом абзаце два противоречащих утверждения? =) По-моему, так противоречия нет. Пакет делает то, что надо, но с багом. Проще исправить баг, перед этим попытавшись понять, не потеряю ли что, чем писать все с нуля, тем паче что написанное будет примерно эквивалентно. Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и насколько безопасно. Увы, не выйдет: домен, в котором у него почта, больше не существует. -- Константин Стефанов ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Hello! On Tue, 14 May 2019 at 09:41:09 (+0300), Konstantin Stefanov wrote: > Как по мне, так если есть готовый пакет, который делает то, что мне > надо, я поставлю его, и не буду потом при апгрейде вспоминать, что там > за скрипты и почему что-то отвалилось. И сейчас мне проще поправить > готовый скрипт, чем делать свое. Основной вопрос - зачем он все-таки > смотрит в /var/db/pkg (может, там раньше что-то было, по чему можно > определить имена установленных пакетов) и насколько безопасно ему это > оторвать? Только я вижу в этом абзаце два противоречащих утверждения? =) Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и насколько безопасно. -- George L. Yermulnik [YZ-RIPE] ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
On 13.05.2019 16:09, Eugene Grosbein wrote:
13.05.2019 14:48, Konstantin Stefanov пишет:
Приветствую.
Есть у меня сервер с несколькими jail. В одном из джейлов для pkg заведен
репозиторий вот в такой конфигурации:
FreeBSD-latest: {
url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest;,
mirror_type: "srv",
signature_type: "fingerprints",
fingerprints: "/usr/share/keys/pkg",
enabled: yes,
priority: 1
}
И есть на это сервере пакет jailaudit, который, в принципе, должен для всех
джейлов сделать pkg audit, и результат выдать в ежедневную выдачу security. И
вот на этот джейл этот самый jailaudit вываливает кучу сообщений типа
FreeBSD-latest.meta is vulnerable:
openssh -- multiple vulnerabilities
CVE: CVE-2006-5051
CVE: CVE-2006-4924
WWW: https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html
с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты.
Небольшие разборки показали, что список пакетов (кроме стандартного pkg query
-a) jailaudit дополняет при помощи
ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v 'vuln.xml'
и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных пакетов,
после чего передается в pkg audit FreeBSD-latest.meta и получается простыня
непойми чего.
Собственно вопросы:
1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в pkg
audit, что там может быть такого интересного?
2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом
FreeBSD-latest.meta и содержимым за много-много лет?
3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще один
grep -v в скрипт?
Ну и может вообще у кого-то есть мысли по поводу?
Не знаю ответов на вопросы, но судя по pkg-descr порта jailaudit, это очень
старый порт,
который появился, когда pkgng ещё не было в природе и вместо pkg audit
использовался
portaduit.
Это да, но потом туда пришла поддержка pkg audit.
jailaudit решает несуществующую нынче проблему и IMHO не нужен вообще.
Вполне достаточного коротенького скрипта типа такого:
jls | awk 'NR>1 {print $3, $4}' | while read name root
do
printf "\nAudit for $name:\n"
env PKG_DBDIR=$root/var/db/pkg pkg audit
done
В общем, он примерно это и делает. Плюс ставит скрипт в
periodic/security, и отчет приходит в общем security output.
Как по мне, так если есть готовый пакет, который делает то, что мне
надо, я поставлю его, и не буду потом при апгрейде вспоминать, что там
за скрипты и почему что-то отвалилось. И сейчас мне проще поправить
готовый скрипт, чем делать свое. Основной вопрос - зачем он все-таки
смотрит в /var/db/pkg (может, там раньше что-то было, по чему можно
определить имена установленных пакетов) и насколько безопасно ему это
оторвать?
--
Константин Стефанов,
Лаборатория параллельных информационных технологий НИВЦ МГУ
тел. +7 (495) 939-23-41
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
13.05.2019 14:48, Konstantin Stefanov пишет:
> Приветствую.
>
> Есть у меня сервер с несколькими jail. В одном из джейлов для pkg заведен
> репозиторий вот в такой конфигурации:
> FreeBSD-latest: {
> url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest;,
> mirror_type: "srv",
> signature_type: "fingerprints",
> fingerprints: "/usr/share/keys/pkg",
> enabled: yes,
> priority: 1
> }
>
> И есть на это сервере пакет jailaudit, который, в принципе, должен для всех
> джейлов сделать pkg audit, и результат выдать в ежедневную выдачу security. И
> вот на этот джейл этот самый jailaudit вываливает кучу сообщений типа
>
> FreeBSD-latest.meta is vulnerable:
> openssh -- multiple vulnerabilities
> CVE: CVE-2006-5051
> CVE: CVE-2006-4924
> WWW:
> https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html
>
> с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты.
> Небольшие разборки показали, что список пакетов (кроме стандартного pkg query
> -a) jailaudit дополняет при помощи
> ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v 'vuln.xml'
> и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных
> пакетов, после чего передается в pkg audit FreeBSD-latest.meta и получается
> простыня непойми чего.
>
> Собственно вопросы:
> 1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в pkg
> audit, что там может быть такого интересного?
> 2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом
> FreeBSD-latest.meta и содержимым за много-много лет?
> 3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще один
> grep -v в скрипт?
>
> Ну и может вообще у кого-то есть мысли по поводу?
Не знаю ответов на вопросы, но судя по pkg-descr порта jailaudit, это очень
старый порт,
который появился, когда pkgng ещё не было в природе и вместо pkg audit
использовался
portaduit.
jailaudit решает несуществующую нынче проблему и IMHO не нужен вообще.
Вполне достаточного коротенького скрипта типа такого:
jls | awk 'NR>1 {print $3, $4}' | while read name root
do
printf "\nAudit for $name:\n"
env PKG_DBDIR=$root/var/db/pkg pkg audit
done
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd
