CentOSまたはScientific Linuxでセキュリティアップデートを自動的に確認しますか?


20

CentOSやScientific LinuxなどのRedHatベースのディストリビューションを実行しているマシンがあります。インストールされたパッケージに既知の脆弱性がある場合、システムが自動的に通知するようにします。FreeBSDはports-mgmt / portauditポートでこれを行います

RedHatはyum-plugin-securityを提供し、Bugzilla ID、CVE ID、またはアドバイザリID によって脆弱性をチェックできます。さらに、Fedoraは最近yum-plugin-securityのサポートを開始しました。これはFedora 16で追加されたと思います。

Scientific Linux 6は、2011年後半の時点でyum-plugin-securityをサポートしていませんでした。これは、同梱さん/etc/cron.daily/yum-autoupdate毎日RPMを更新します、。ただし、これはセキュリティ更新のみを処理するとは思わない。

CentOSはをサポートyum-plugin-securityしていませ

CentOSとScientific Linuxのメーリングリストの更新を監視していますが、これは退屈で、自動化できるものが必要です。

CentOSおよびSLシステムを保守する私たちにとって、次のことができるツールがあります。

  1. 現在のRPMに既知の脆弱性がある場合、自動的に(プログラム的に、cronを介して)通知します。
  2. オプションとして、セキュリティの脆弱性に対処するために必要な最小限のアップグレードを自動的にインストールします。これはおそらくyum update-minimal --securityコマンドラインにありますか

yum-plugin-changelog各パッケージの変更ログを印刷して、特定の文字列の出力を解析するために使用することを検討しました。すでにこれを行うツールはありますか?


構成管理システムはありますか?人形?CFEngine?
ewwhite

はい、Cfengineを持っています。私はパペットについて考えています。
ステファンLasiewski

2
yum-updatesdは同様のことを行っていました(新しい更新について通知し、セキュリティ更新があった場合は言及します)-しかし、CentOS 6(またはEPEL)リポジトリにあるとは思いません。ただし、CentOS Wikiのスクリプトをかなり簡単に調整できる場合があります。
cyberx86

回答:


8

絶対に使用したい場合yum security pluginは、少し複雑ですが、これを行う方法があります。ただし、セットアップが完了すると、すべて自動化されます。

唯一の要件は、少なくとも1つのRHNサブスクリプションが必要であることです。これは良い投資IMOですが、ポイントに固執することができます。

  1. サブスクリプションを取得したらmrepoまたはreposyncを使用して、CentOSリポジトリをミラーリングする社内Yumリポジトリをセットアップできます。(または単にrsyncを使用できます)。
  2. 次に、このメーリングリストの投稿に添付されているスクリプトを使用して、定期的にRHNサブスクリプションに接続し、セキュリティパッケージ情報をダウンロードします。2つのオプションがあります。
    1. 生成された「updateinfo.xml」ファイルからパッケージ名のみを抽出します。そして、その情報を使用して、puppetまたはcfengine、またはssh-in-a-for-loopを使用して、セキュリティまたはその他の更新を必要とするRpmのサーバーを「検索」します。これは簡単で、必要なものはすべて提供されますが、を使用することはできませんyum security
    2. 他のオプションは、ここmodifyrepo示すようにコマンドを使用して、に注入することです。これを行う前に、perlスクリプトを変更して、xml内のRpm MD5合計をRHNからCentos合計に変更する必要があります。また、CentOSリポジトリがに記載されているすべてのRpmを実際に持っているかどうかを確認する必要があります。これらは時々RHNの背後にあるためです。しかし、それは問題ありません。CentOSが追いついていない更新は無視できます。SRPMからビルドする以外には、できることはほとんどありません。updateinfo.xmlrepomd.xmlupdateinfo.xml

オプション2を使用するとyum security、すべてのクライアントにプラグインをインストールでき、機能します。

編集:これはRedhat RHEL 5および6マシンでも機能します。また、SpacewalkやPulpのような重いソリューションを使用するよりも簡単です。


6

Scientific Linuxは、コマンドラインからセキュリティアップデートを一覧表示できるようになりました。さらに、セキュリティ更新プログラムのみを適用するようにシステムを更新できます。これはデフォルトよりも優れています(「すべてを更新するだけです!気にしないバグや回帰を引き起こすバグ修正を含む」

これをScientific Linux 6.1と6.4の両方でテストしました。これがいつ正式に発表されたのかはわかりませんが、詳細がわかり次第投稿します。

下記は用例です。

セキュリティ更新の要約をリストします。

[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

CVEによるリスト:

[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

そして、必要な最小限の変更を適用して

[root@node1 ~]# yum update-minimal --security

または、すべてにパッチを適用します。

[root@node1 ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[root@node1 ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[root@node1 ~]#

CentOS6ボックスでこの同じコマンドを試しても、結果が得られません。昨日、CentOSメーリングリストで正誤表を受け取ったため、「利用可能な137個のパッケージ」の一部にセキュリティ修正が含まれているという事実を知っています。

[root@node1 ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#

5

同じ問題がありました。前述のsteve-meier ErrataサイトからYumの更新とアドバイザリをまとめるPythonコードの作成に挑戦しました(インストールされたパッケージに基づいてフィルタリングします)。

それが役立つ場合、ソースはここにあります:https : //github.com/wied03/centos-package-cron


2

CFEngineがあるため、http//twitter.com/#! / CentOS_Announceに投稿されたセキュリティアップデートに基づいて、システムのグループに変更を適用できます。

私はそこにいる最大のサーバーセキュリティエンジニアではありません... 公開されているもの(ssl、ssh、apache)または重大な悪用があるものが優先されます。その他はすべて四半期ごとに評価されます。更新されたパッケージは実稼働システム上の他のアイテムを破壊する可能性があるため、これらのものが自動的にアップグレードされることは望ましくありません。


上記のTwitterフィードは、2017年以降のIMOの悪いアドバイスです。これは、2012年10月10日以来、すべての更新を受信していない
SLM

2

科学的なLinuxの(少なくとも6.2および6.3;私は6.1のシステムが残されていない)をサポートしていないだけでyum-plugin-securityなく、用の設定ファイルはyum-autoupdate/etc/sysconfig/yum-autoupdateあなたがセキュリティアップデートのインストールのみを可能にすることができます。

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"

2

CentOSでは次を使用できます

yum list updates

yum-plugin-securityの代わりに、またはCentOSセキュリティニュースフィードLVPSに基づいてこのスクリプトスキャンを試してみたいかもしれません。


yum list updates一覧表示されますすべての私はリストしたい場合は、更新をセキュリティアップデートを。
ステファンLasiewski

yumリストの更新--security
Sirex

2
yum list updates --security動作しない(おそらくプラグインが必要)
Taha Jahangir 14

1

generate_updateinfoプロジェクトを試すこともできます。これは、CEFSプロジェクトerrata.latest.xmlによってコンパイルされたファイルを処理し、セキュリティ更新メタデータを含むファイルを生成するPythonスクリプトです。その後、ローカルCentOS 6(7)更新リポジトリにそれを注入できます。コマンドで作成されたカスタム/ローカルリポジトリと統合するのは非常に簡単です。updateinfo.xmlcreaterepo

  • reposyncコマンドを使用したミラーリポジトリ
  • createrepoコマンドでローカルリポジトリを作成
  • スクリプトを使用してupdateinfo.xmlファイルをダウンロードして生成するgenerate_updateinfo.py
  • modifyrepoコマンドを使用して、生成されたセキュリティ更新メタデータをローカルリポジトリに挿入する

-1

CentOS6では、yum-securityプラグインを使用できます。

yum install yum-security

確認する:

yum --security check-update

利用可能なセキュリティ更新プログラムがない場合、このコマンドはコード0を返します。

yum-cronと組み合わせて、ファイル/ etc / sysconfig / yum-cronを変更することにより、利用可能なセキュリティアップデートのみに関する電子メールを取得できます。

YUM_PARAMETER="--security"

1
YumセキュリティプラグインはCentOS6では動作しません。ただし、RHELおよびScientific Linuxでは動作します。
ステファンLasiewski 14年

「機能しない」とはどういう意味ですか。CentOS6-Baseの一部であり、多くのインストールでここにインストールされます。yum-plugin-security.noarch 1.1.30-17.el6_5 @updates
Bertl

1
つまり、実行するyum --security check-updateと、コマンドはで返されNo packages needed for security; 137 packages availableます。利用可能なアップデートの一部にセキュリティ修正が含まれていることは事実です。アップデートはCentOSの「ベース」リポジトリで利用可能ですが、セキュリティ修正としてマークされていません。CentOSは現在、Red Hat、Scientific Linux、EPELとは異なり、セキュリティパッチ用のyumリポジトリを提供していません。
ステファンLasiewski 14年

1
それがあなたのために働くなら、あなたはそれがどのように働くかを示しますか
ステファンLasiewski 14年

1
問題に関する次のスレッドを参照してください。lists.centos.org
pipermail
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.