CentOSまたはScientific Linuxでセキュリティアップデートを自動的に確認しますか？

CentOSやScientific LinuxなどのRedHatベースのディストリビューションを実行しているマシンがあります。インストールされたパッケージに既知の脆弱性がある場合、システムが自動的に通知するようにします。FreeBSDはports-mgmt / portauditポートでこれを行います。

RedHatはyum-plugin-securityを提供し、Bugzilla ID、CVE ID、またはアドバイザリID によって脆弱性をチェックできます。さらに、Fedoraは最近yum-plugin-securityのサポートを開始しました。これはFedora 16で追加されたと思います。

Scientific Linux 6は、2011年後半の時点でyum-plugin-securityをサポートしていませんでした。これは、同梱さん/etc/cron.daily/yum-autoupdate毎日RPMを更新します、。ただし、これはセキュリティ更新のみを処理するとは思わない。

CentOSはをサポートyum-plugin-securityしていません。

CentOSとScientific Linuxのメーリングリストの更新を監視していますが、これは退屈で、自動化できるものが必要です。

CentOSおよびSLシステムを保守する私たちにとって、次のことができるツールがあります。

1. 現在のRPMに既知の脆弱性がある場合、自動的に（プログラム的に、cronを介して）通知します。
2. オプションとして、セキュリティの脆弱性に対処するために必要な最小限のアップグレードを自動的にインストールします。これはおそらくyum update-minimal --securityコマンドラインにありますか

yum-plugin-changelog各パッケージの変更ログを印刷して、特定の文字列の出力を解析するために使用することを検討しました。すでにこれを行うツールはありますか？

絶対に使用したい場合yum security pluginは、少し複雑ですが、これを行う方法があります。ただし、セットアップが完了すると、すべて自動化されます。

唯一の要件は、少なくとも1つのRHNサブスクリプションが必要であることです。これは良い投資IMOですが、ポイントに固執することができます。

1. サブスクリプションを取得したら、mrepoまたはreposyncを使用して、CentOSリポジトリをミラーリングする社内Yumリポジトリをセットアップできます。（または単にrsyncを使用できます）。
2. 次に、このメーリングリストの投稿に添付されているスクリプトを使用して、定期的にRHNサブスクリプションに接続し、セキュリティパッケージ情報をダウンロードします。2つのオプションがあります。
   1. 生成された「updateinfo.xml」ファイルからパッケージ名のみを抽出します。そして、その情報を使用して、puppetまたはcfengine、またはssh-in-a-for-loopを使用して、セキュリティまたはその他の更新を必要とするRpmのサーバーを「検索」します。これは簡単で、必要なものはすべて提供されますが、を使用することはできませんyum security。
   2. 他のオプションは、ここにmodifyrepo示すようにコマンドを使用して、に注入することです。これを行う前に、perlスクリプトを変更して、xml内のRpm MD5合計をRHNからCentos合計に変更する必要があります。また、CentOSリポジトリがに記載されているすべてのRpmを実際に持っているかどうかを確認する必要があります。これらは時々RHNの背後にあるためです。しかし、それは問題ありません。CentOSが追いついていない更新は無視できます。SRPMからビルドする以外には、できることはほとんどありません。updateinfo.xmlrepomd.xmlupdateinfo.xml

オプション2を使用するとyum security、すべてのクライアントにプラグインをインストールでき、機能します。

編集：これはRedhat RHEL 5および6マシンでも機能します。また、SpacewalkやPulpのような重いソリューションを使用するよりも簡単です。

Scientific Linuxは、コマンドラインからセキュリティアップデートを一覧表示できるようになりました。さらに、セキュリティ更新プログラムのみを適用するようにシステムを更新できます。これはデフォルトよりも優れています（「すべてを更新するだけです！気にしないバグや回帰を引き起こすバグ修正を含む」

これをScientific Linux 6.1と6.4の両方でテストしました。これがいつ正式に発表されたのかはわかりませんが、詳細がわかり次第投稿します。

下記は用例です。

セキュリティ更新の要約をリストします。

[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

CVEによるリスト：

[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

そして、必要な最小限の変更を適用して

[root@node1 ~]# yum update-minimal --security

または、すべてにパッチを適用します。

[root@node1 ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[root@node1 ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[root@node1 ~]#

CentOS6ボックスでこの同じコマンドを試しても、結果が得られません。昨日、CentOSメーリングリストで正誤表を受け取ったため、「利用可能な137個のパッケージ」の一部にセキュリティ修正が含まれているという事実を知っています。

[root@node1 ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#

同じ問題がありました。前述のsteve-meier ErrataサイトからYumの更新とアドバイザリをまとめるPythonコードの作成に挑戦しました（インストールされたパッケージに基づいてフィルタリングします）。

それが役立つ場合、ソースはここにあります：https : //github.com/wied03/centos-package-cron

CFEngineがあるため、http：//twitter.com/#！ / CentOS_Announceに投稿されたセキュリティアップデートに基づいて、システムのグループに変更を適用できます。

私はそこにいる最大のサーバーセキュリティエンジニアではありません... 公開されているもの（ssl、ssh、apache）または重大な悪用があるものが優先されます。その他はすべて四半期ごとに評価されます。更新されたパッケージは実稼働システム上の他のアイテムを破壊する可能性があるため、これらのものが自動的にアップグレードされることは望ましくありません。

科学的なLinuxの（少なくとも6.2および6.3;私は6.1のシステムが残されていない）をサポートしていないだけでyum-plugin-securityなく、用の設定ファイルはyum-autoupdate、/etc/sysconfig/yum-autoupdateあなたがセキュリティアップデートのインストールのみを可能にすることができます。

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"

CentOSでは次を使用できます

yum list updates

yum-plugin-securityの代わりに、またはCentOSセキュリティニュースフィードLVPSに基づいてこのスクリプトスキャンを試してみたいかもしれません。

generate_updateinfoプロジェクトを試すこともできます。これは、CEFSプロジェクトerrata.latest.xmlによってコンパイルされたファイルを処理し、セキュリティ更新メタデータを含むファイルを生成するPythonスクリプトです。その後、ローカルCentOS 6（7）更新リポジトリにそれを注入できます。コマンドで作成されたカスタム/ローカルリポジトリと統合するのは非常に簡単です。updateinfo.xmlcreaterepo

• reposyncコマンドを使用したミラーリポジトリ
• createrepoコマンドでローカルリポジトリを作成
• スクリプトを使用してupdateinfo.xmlファイルをダウンロードして生成するgenerate_updateinfo.py
• modifyrepoコマンドを使用して、生成されたセキュリティ更新メタデータをローカルリポジトリに挿入する

CentOS6では、yum-securityプラグインを使用できます。

yum install yum-security

確認する：

yum --security check-update

利用可能なセキュリティ更新プログラムがない場合、このコマンドはコード0を返します。

yum-cronと組み合わせて、ファイル/ etc / sysconfig / yum-cronを変更することにより、利用可能なセキュリティアップデートのみに関する電子メールを取得できます。

YUM_PARAMETER="--security"