Mulțumesc pentru debsecan. Pare ok, doar că e targetat pentru Debian only. L-am rulat pe Ubuntu 15.04 cu suite sid și a găsit 9832 de înregistrări. Nu mi-e încă clar dacă le arată doar pe cele vulnerabile, sau și pe cele fixed...
Dar mai sap... 2015-10-23 13:56 GMT+03:00 Iulian Murgulet <gul...@casbv.ro>: > În 2015-10-23 13:08, Adrian Popa a scris: > > Mulțumesc pentru răspunsuri. > > > > Am găsit un template de openscap pentru Ubuntu ( > > https://github.com/GovReady/ubuntu-scap) și am reușit să îl rulez pe > > sistemul meu. A făcut un set de verificări (permisiuni/useri/etc), în > > schimb nu a căutat nimic pe partea de vulnerabilități (CVE). Din câte > > văd > > openscap știe să caute și prin CVE-uri, dar mă tot scarpin în cap să > > înțeleg cum să combin definițiile. > > > > Întrebare de openscap: pentru RH & friends care a fost abordarea ta? Ai > > folosit verificările "stock" din scap-security-guide? Sau ai definit un > > template custom de verificări pentru rolul serverului tău (pentru > > server de > > mysql fac verificările X, pentru server web verificările Y, etc)? > > Verificări de CVE cu el ai făcut (dacă da, cu ce comandă)? > > > > Numai bine, > > > > 2015-10-23 9:41 GMT+03:00 manuel "lonely wolf" wolfshant > > <wo...@prolinux.ro> > > : > > > >> On 10/22/2015 11:47 PM, Catalin Muresan wrote: > >> > Salut, > >> > > >> > 2015-10-22 20:38 GMT+01:00 Adrian Popa <adrian.popa...@gmail.com>: > >> > > >> >> Salutare, > >> >> > >> >> Am fost însărcinat de către upper management să găsesc și să > >> implementez o > >> >> soluție open source care "să facă ce face și MBSA-ul pe Windows", mai > >> exact > >> >> să scaneze softwareul instalat și să raporteze dacălipsesc anumite > >> >> update-uri din sistem. > >> >> > >> > pentru CentOS/RHEL : http://spacewalk.redhat.com/ cu mentiunea ca o > sa > >> ai > >> Lasind la o parte ca Adrian foloseste Debian, spacewalk este o chestie > >> cu MULT prea ampla fata de ceea ce are nevoie > >> > >> > >> > "raport" cu clasificarea RedHat (security, critical, major, bug, > >> > enhancement, etc) ca sa obtii CVE trebuie sa corelezi cu ce scrie in > >> > security advisory (mailing list sau altele) care arata ceva de genul: > >> > > >> > Advisory URL: https://rhn.redhat.com/errata/RHSA-2015-1928.html > >> > > >> > DIn păcate cerința e cam vagă - rolul ăsta îl are package managerul > >> într-un > >> de fapt in RHEL si clone ( CentOS si SL, nu stiu de OEL) exista > >> yum install scap-security-guide openscap-scanner > >> dar el are Debian asa ca instructiunea asta nu ii foloseste la nimic > >> > >> > >> >> linux din ultimii 10 ani. Ce par să vrea e defapt un patch management > >> >> system care să zică că sistemul e vulnerabil la shellshock, > heartbleed > >> sau > >> >> CVE1234. > >> >> > >> > Din experienta astea sunt povesti upper management (CYA) care nu au > nici > >> un > >> > fel de folos la final, o sa te dai peste cap sa faci un raport care > nu-l > >> > citeste nimeni. Ia calea cea mai simpla, spacewalk (sau similare) si > >> gata. > >> > Problema e ca sunt gauri de securitate, rezolva-le pe alea si e mult > mai > >> > bine. > >> > > >> > > >> >> Din câte știu Nessus știe să verifice vulnerabilitățiile dintr-un > >> sistem și > >> >> poate compara cu baza de date CVE. Problema e că e nevoie de licență > (am > >> >> uitat să menționez că bugetul pentru treaba asta e zerobarat... De > când > >> a > >> >> intrat linuxul în domeniile corporate, bugetele IT au scăzutpe motiv > că > >> >> totul e open source acum...</friday>). > >> faptul ca e open source nu inseamna ca e si gratuit. Incearca sa le > >> explici diferenta dintre free beer si free speech > >> > >> > >> >> > >> >> Din ce am mai căutat am găsit open-scap ( > >> >> http://open-scap.org/page/Main_Page) > >> >> care după ce îl configurezi cum trebuie cu tot ce are de verificat, > ar > >> >> trebui să facă o treabă decentă de scanare șiraportare. Problema e că > >> pare > >> >> să fie axat pe RHEL și pentru Debian nu prea se găsesc fișiere de > >> >> configurare potrivite. > >> https://www.debian.org/security/oval/ > >> https://wiki.debian.org/DebianOval > >> > >> > >> >> > >> > Nu am incercat > >> > https://fedorahosted.org/spacewalk/wiki/Deb_support_in_spacewalk > >> > > >> > > >> >> Vroiam să vă întreb care a fost abordarea voastră când ați avut de > făcut > >> >> treaba asta (<rant>oricum, cred că e un exercițiu inutil - chiar dacă > >> >> descoperă patch-uri neaplicate, cine să le mai aplice pe sisteme EOL > de > >> ani > >> >> buni? Și dacă ai un rootkit pe server sau fișiere php pasibile de > >> injection > >> >> attacks, oricum nu le-ar detecta. Părerea mea e că în .ro chestile > >> ăstea se > >> >> fac doar ca să existe niște hârtii la audit că suntem > >> compliant...</rant>). > >> chestia asta cu compliance-ul pt audit depinde de la firma la firma > >> mai > >> mult decit de la tara la tara. eu in primavara incepusem sa > >> implementez > >> Common Criteria 4.1 > >> Si nu doar de dragul de a cheltui citeva sute de mii de euro... > >> > >> > >> >> Ce alte tooluri ați folosit? > >> nessus, openscap pt scanare, aide pt intrusion. > > > > ossec, care mie mi se parte peste aide, subiectiv fiind ;) > > > > > >> > >> > >> _______________________________________________ > >> RLUG mailing list > >> RLUG@lists.lug.ro > >> http://lists.lug.ro/mailman/listinfo/rlug > >> > > _______________________________________________ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug > > ================================ ATENTIONARI ============================= > > - pentru atasamente tip Office va rugam sa folositi format OFFICE 97; > - nu trimiteti date personale (CNP, copii dupa acte de identitate etc). > > O lista completa cu reguli de utilizare exista la: > > http://gw.casbv.ro/forum_smf/index.php?topic=2000.msg3106#msg3106 > > C.A.S.J. Brasov - B-dul Mihail Kogalniceanu, nr. 11,Brasov > [web-site]: http://www.casbv.ro > [forum]: http://gw.casbv.ro/forum_smf/index.php > > ========================================================================== > > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
