Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Идея попинать мейнтейнера оказалась богатой и плодотворной: баг поправлен, вышла новая версия. On 13.05.2019 10:48, Konstantin Stefanov wrote: Приветствую. Есть у меня сервер с несколькими jail. В одном из джейлов для pkg заведен репозиторий вот в такой конфигурации: FreeBSD-latest: { url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest;, mirror_type: "srv", signature_type: "fingerprints", fingerprints: "/usr/share/keys/pkg", enabled: yes, priority: 1 } И есть на это сервере пакет jailaudit, который, в принципе, должен для всех джейлов сделать pkg audit, и результат выдать в ежедневную выдачу security. И вот на этот джейл этот самый jailaudit вываливает кучу сообщений типа FreeBSD-latest.meta is vulnerable: openssh -- multiple vulnerabilities CVE: CVE-2006-5051 CVE: CVE-2006-4924 WWW: https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты. Небольшие разборки показали, что список пакетов (кроме стандартного pkg query -a) jailaudit дополняет при помощи ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v 'vuln.xml' и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных пакетов, после чего передается в pkg audit FreeBSD-latest.meta и получается простыня непойми чего. Собственно вопросы: 1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в pkg audit, что там может быть такого интересного? 2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом FreeBSD-latest.meta и содержимым за много-много лет? 3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще один grep -v в скрипт? Ну и может вообще у кого-то есть мысли по поводу? -- Константин Стефанов, Лаборатория параллельных информационных технологий НИВЦ МГУ тел. +7 (495) 939-23-41 ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Hello! On Tue, 14 May 2019 at 12:50:31 (+0300), Konstantin Stefanov wrote: > Ух, и впрямь! Интересно, как же я проверял? Сайт, что ли посмотрел? > Что-то у меня отложилось, что домена нет. Точно. -- George L. Yermulnik [YZ-RIPE] ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
On 14.05.2019 11:34, George L. Yermulnik wrote: Hello! On Tue, 14 May 2019 at 11:25:01 (+0300), Konstantin Stefanov wrote: Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и насколько безопасно. Увы, не выйдет: домен, в котором у него почта, больше не существует. Существует: # pwd /usr/ports/ports-mgmt/jailaudit # make -V MAINTAINER cryx-po...@h3q.com # host -t mx h3q.com h3q.com mail is handled by 10 mail.h3q.com. h3q.com mail is handled by 30 mail.h3q.de. # telnet mail.h3q.com. 25 Trying 213.73.89.199... Connected to mail.h3q.com. Escape character is '^]'. 220 mail.h3q.com ESMTP EHLO my.host 250-mail.h3q.com 250-STARTTLS 250-PIPELINING 250 8BITMIME mail from:<> 250 ok rcpt to: 250 ok quit 221 mail.h3q.com Connection closed by foreign host. Ух, и впрямь! Интересно, как же я проверял? Сайт, что ли посмотрел? Что-то у меня отложилось, что домена нет. Попробую написать. -- Константин Стефанов, Лаборатория параллельных информационных технологий НИВЦ МГУ тел. +7 (495) 939-23-41 ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Hello! On Tue, 14 May 2019 at 11:25:01 (+0300), Konstantin Stefanov wrote: > > Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и > > насколько безопасно. > Увы, не выйдет: домен, в котором у него почта, больше не существует. Существует: # pwd /usr/ports/ports-mgmt/jailaudit # make -V MAINTAINER cryx-po...@h3q.com # host -t mx h3q.com h3q.com mail is handled by 10 mail.h3q.com. h3q.com mail is handled by 30 mail.h3q.de. # telnet mail.h3q.com. 25 Trying 213.73.89.199... Connected to mail.h3q.com. Escape character is '^]'. 220 mail.h3q.com ESMTP EHLO my.host 250-mail.h3q.com 250-STARTTLS 250-PIPELINING 250 8BITMIME mail from:<> 250 ok rcpt to: 250 ok quit 221 mail.h3q.com Connection closed by foreign host. -- George L. Yermulnik [YZ-RIPE] ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
On 14.05.2019 11:15, George L. Yermulnik wrote: Hello! On Tue, 14 May 2019 at 09:41:09 (+0300), Konstantin Stefanov wrote: Как по мне, так если есть готовый пакет, который делает то, что мне надо, я поставлю его, и не буду потом при апгрейде вспоминать, что там за скрипты и почему что-то отвалилось. И сейчас мне проще поправить готовый скрипт, чем делать свое. Основной вопрос - зачем он все-таки смотрит в /var/db/pkg (может, там раньше что-то было, по чему можно определить имена установленных пакетов) и насколько безопасно ему это оторвать? Только я вижу в этом абзаце два противоречащих утверждения? =) По-моему, так противоречия нет. Пакет делает то, что надо, но с багом. Проще исправить баг, перед этим попытавшись понять, не потеряю ли что, чем писать все с нуля, тем паче что написанное будет примерно эквивалентно. Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и насколько безопасно. Увы, не выйдет: домен, в котором у него почта, больше не существует. -- Константин Стефанов ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
Hello! On Tue, 14 May 2019 at 09:41:09 (+0300), Konstantin Stefanov wrote: > Как по мне, так если есть готовый пакет, который делает то, что мне > надо, я поставлю его, и не буду потом при апгрейде вспоминать, что там > за скрипты и почему что-то отвалилось. И сейчас мне проще поправить > готовый скрипт, чем делать свое. Основной вопрос - зачем он все-таки > смотрит в /var/db/pkg (может, там раньше что-то было, по чему можно > определить имена установленных пакетов) и насколько безопасно ему это > оторвать? Только я вижу в этом абзаце два противоречащих утверждения? =) Попинайте мейнтейнера порта для начала - может, он в курсе, зачем и насколько безопасно. -- George L. Yermulnik [YZ-RIPE] ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
On 13.05.2019 16:09, Eugene Grosbein wrote: 13.05.2019 14:48, Konstantin Stefanov пишет: Приветствую. Есть у меня сервер с несколькими jail. В одном из джейлов для pkg заведен репозиторий вот в такой конфигурации: FreeBSD-latest: { url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest;, mirror_type: "srv", signature_type: "fingerprints", fingerprints: "/usr/share/keys/pkg", enabled: yes, priority: 1 } И есть на это сервере пакет jailaudit, который, в принципе, должен для всех джейлов сделать pkg audit, и результат выдать в ежедневную выдачу security. И вот на этот джейл этот самый jailaudit вываливает кучу сообщений типа FreeBSD-latest.meta is vulnerable: openssh -- multiple vulnerabilities CVE: CVE-2006-5051 CVE: CVE-2006-4924 WWW: https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты. Небольшие разборки показали, что список пакетов (кроме стандартного pkg query -a) jailaudit дополняет при помощи ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v 'vuln.xml' и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных пакетов, после чего передается в pkg audit FreeBSD-latest.meta и получается простыня непойми чего. Собственно вопросы: 1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в pkg audit, что там может быть такого интересного? 2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом FreeBSD-latest.meta и содержимым за много-много лет? 3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще один grep -v в скрипт? Ну и может вообще у кого-то есть мысли по поводу? Не знаю ответов на вопросы, но судя по pkg-descr порта jailaudit, это очень старый порт, который появился, когда pkgng ещё не было в природе и вместо pkg audit использовался portaduit. Это да, но потом туда пришла поддержка pkg audit. jailaudit решает несуществующую нынче проблему и IMHO не нужен вообще. Вполне достаточного коротенького скрипта типа такого: jls | awk 'NR>1 {print $3, $4}' | while read name root do printf "\nAudit for $name:\n" env PKG_DBDIR=$root/var/db/pkg pkg audit done В общем, он примерно это и делает. Плюс ставит скрипт в periodic/security, и отчет приходит в общем security output. Как по мне, так если есть готовый пакет, который делает то, что мне надо, я поставлю его, и не буду потом при апгрейде вспоминать, что там за скрипты и почему что-то отвалилось. И сейчас мне проще поправить готовый скрипт, чем делать свое. Основной вопрос - зачем он все-таки смотрит в /var/db/pkg (может, там раньше что-то было, по чему можно определить имена установленных пакетов) и насколько безопасно ему это оторвать? -- Константин Стефанов, Лаборатория параллельных информационных технологий НИВЦ МГУ тел. +7 (495) 939-23-41 ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] jailaudit и репозиторий pkg FreeBSD-latest
13.05.2019 14:48, Konstantin Stefanov пишет: > Приветствую. > > Есть у меня сервер с несколькими jail. В одном из джейлов для pkg заведен > репозиторий вот в такой конфигурации: > FreeBSD-latest: { > url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest;, > mirror_type: "srv", > signature_type: "fingerprints", > fingerprints: "/usr/share/keys/pkg", > enabled: yes, > priority: 1 > } > > И есть на это сервере пакет jailaudit, который, в принципе, должен для всех > джейлов сделать pkg audit, и результат выдать в ежедневную выдачу security. И > вот на этот джейл этот самый jailaudit вываливает кучу сообщений типа > > FreeBSD-latest.meta is vulnerable: > openssh -- multiple vulnerabilities > CVE: CVE-2006-5051 > CVE: CVE-2006-4924 > WWW: > https://vuxml.FreeBSD.org/freebsd/32db37a5-50c3-11db-acf3-000c6ec775d9.html > > с CVE лохматых годов, которые, очевидно, в текущей версии уже закрыты. > Небольшие разборки показали, что список пакетов (кроме стандартного pkg query > -a) jailaudit дополняет при помощи > ls -1 /var/db/pkg/ |grep -v '.sqlite$' |grep -v 'auditfile'|grep -v 'vuln.xml' > и файл /var/db/pkg/FreeBSD-latest.meta попадает в список установленных > пакетов, после чего передается в pkg audit FreeBSD-latest.meta и получается > простыня непойми чего. > > Собственно вопросы: > 1. А зачем вообще смотреть на файлы в /var/db/pkg и отдавать их имена в pkg > audit, что там может быть такого интересного? > 2. Зачем вообще в базе, куда смотрит pkg audit, запись с ключом > FreeBSD-latest.meta и содержимым за много-много лет? > 3. А я чем-то рискую, выкинув файлы .meta из рассмотрения (добавив еще один > grep -v в скрипт? > > Ну и может вообще у кого-то есть мысли по поводу? Не знаю ответов на вопросы, но судя по pkg-descr порта jailaudit, это очень старый порт, который появился, когда pkgng ещё не было в природе и вместо pkg audit использовался portaduit. jailaudit решает несуществующую нынче проблему и IMHO не нужен вообще. Вполне достаточного коротенького скрипта типа такого: jls | awk 'NR>1 {print $3, $4}' | while read name root do printf "\nAudit for $name:\n" env PKG_DBDIR=$root/var/db/pkg pkg audit done ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd