CentOS বা বৈজ্ঞানিক লিনাক্সে স্বয়ংক্রিয়ভাবে সুরক্ষা আপডেটগুলি পরীক্ষা করুন?

আমাদের কাছে সেন্টোস বা বৈজ্ঞানিক লিনাক্সের মতো রেডহ্যাট-ভিত্তিক ডিস্ট্রোস চালিত মেশিন রয়েছে। আমরা চাই যে ইনস্টল করা প্যাকেজগুলির কোনও জ্ঞাত দুর্বলতা থাকলে সিস্টেমগুলি স্বয়ংক্রিয়ভাবে আমাদের জানাতে। ফ্রিবিএসডি পোর্ট-এমজিএমটি / পোর্টওডিট বন্দর দিয়ে এটি করে।

রেডহ্যাট ইয়াম-প্লাগইন-সুরক্ষা সরবরাহ করে , যা তাদের বাগজিলা আইডি, সিভিই আইডি বা উপদেষ্টা আইডি দ্বারা দুর্বলতাগুলি পরীক্ষা করতে পারে । এছাড়াও, ফেডোরা সম্প্রতি ইউম-প্লাগইন-সুরক্ষা সমর্থন করতে শুরু করেছে । আমি বিশ্বাস করি এটি ফেডোরা 16 এ যুক্ত হয়েছিল।

বৈজ্ঞানিক লিনাক্স 6 2011 সালের শেষের দিকে ইয়াম-প্লাগইন-সুরক্ষা সমর্থন করে না । এটি দিয়ে শিপ করে /etc/cron.daily/yum-autoupdate, যা প্রতিদিন আরপিএম আপডেট করে। আমি মনে করি না এটি কেবল সুরক্ষা আপডেটগুলি পরিচালনা করে।

CentOS সমর্থনyum-plugin-security করে না ।

আমি আপডেটগুলির জন্য সেন্টোস এবং বৈজ্ঞানিক লিনাক্স মেলিংলিস্টগুলি পর্যবেক্ষণ করি তবে এটি ক্লান্তিকর এবং আমি এমন কিছু চাই যা স্বয়ংক্রিয়ভাবে তৈরি করা যায়।

আমরা যারা সেন্টোস এবং এসএল সিস্টেম বজায় রাখি তাদের জন্য এমন কোনও সরঞ্জাম রয়েছে যা করতে পারে:

1. আমার বর্তমান আরপিএমগুলির সাথে যদি কোনও দুর্বলতা জানা থাকে তবে স্বয়ংক্রিয়ভাবে (ক্রাগনের মাধ্যমে প্রোগ্রামে) আমাদের জানান।
2. Allyচ্ছিকভাবে, সুরক্ষা দুর্বলতার সমাধানের জন্য প্রয়োজনীয় ন্যূনতম আপগ্রেড স্বয়ংক্রিয়ভাবে ইনস্টল করুন, যা সম্ভবত yum update-minimal --securityকমান্ডলাইনে থাকবে?

আমি yum-plugin-changelogপ্রতিটি প্যাকেজের জন্য চেঞ্জলগ মুদ্রণ করে ব্যবহার করার কথা বিবেচনা করেছি এবং তারপরে নির্দিষ্ট স্ট্রিংগুলির জন্য আউটপুটকে বিশ্লেষণ করব। এমন কোনও সরঞ্জাম রয়েছে যা ইতিমধ্যে এটি করে?

আপনি যদি পুরোপুরি ব্যবহার করতে চান yum security pluginতবে এটি করার একটি উপায় রয়েছে, যদিও সামান্য বিস্তৃত। তবে একবার এটি সেটআপ হয়ে গেলে, এটি সমস্ত স্বয়ংক্রিয়ভাবে।

একমাত্র প্রয়োজনীয়তা হ'ল আপনার কমপক্ষে RHN সাবস্ক্রাইব করতে হবে। যা একটি ভাল বিনিয়োগের আইএমও, তবে বিন্দুটিতে লেগে যেতে দেয়।

1. আপনার সাবস্ক্রিপশনটি একবার হয়ে গেলে, আপনি সেন্ট ইউপোতে আয়নাতে রেখার জন্য হোম ইউম রেপো সেটআপ করতে mrepo বা reposync ব্যবহার করতে পারেন । (বা আপনি কেবল rsync ব্যবহার করতে পারেন)।
2. তারপরে এই মেলিং তালিকা পোস্টের সাথে সংযুক্ত স্ক্রিপ্টটি ব্যবহার করুন , আপনার RHN সাবস্ক্রিপশনে নিয়মিত সংযোগ স্থাপন করতে, সুরক্ষা প্যাকেজগুলির তথ্য ডাউনলোড করতে। এখন আপনার কাছে দুটি বিকল্প রয়েছে।
   1. উত্পন্ন "আপডেটinfo.xML" ফাইল থেকে কেবল প্যাকেজের নামগুলি বের করুন। এবং পুতুল বা সিফেনিজিন, বা লুপ-এর জন্য লুপ ব্যবহার করে সুরক্ষা বা অন্যান্য আপডেটের প্রয়োজন হওয়া আরপিএমগুলির জন্য আপনার সার্ভারগুলি "অনুসন্ধান" করতে ব্যবহার করুন। এটি সহজ, আপনাকে যা চায় তা দেয় কিন্তু আপনি ব্যবহার করতে পারবেন না yum security।
   2. অন্য বিকল্পটি হ'ল modifyrepoকমান্ডটি এখানে বর্ণিত হিসাবে ইনজেক্ট করতে ব্যবহার updateinfo.xmlকরা হবে repomd.xml। এটি করার আগে , আপনাকে আরএমএল এমডি 5 এর পরিমাণগুলি xML- র মধ্যে পরিবর্তন করতে পারল স্ক্রিপ্টটি পরিবর্তন করতে হবে, RHN থেকে Centos যোগফলে। এবং আপনাকে নিশ্চিত করতে হবে সেন্টোপোপোসগুলিতে আসলে সমস্ত আরপিএমস উল্লিখিত আছে কিনা updateinfo.xml, যেহেতু তারা কখনও কখনও RHN এর পিছনে থাকে। তবে এটি ঠিক আছে, সেন্টোস যে আপডেটগুলি গ্রহণ করে নি সেগুলি আপনি এড়িয়ে যাবেন, কারণ এসআরপিএমগুলি থেকে সেগুলি তৈরির বিষয়ে আপনার পক্ষে সামান্য কিছুই করা যায়।

বিকল্প 2 সহ, আপনি yum securityসমস্ত ক্লায়েন্টে প্লাগইন ইনস্টল করতে পারেন এবং এটি কার্যকর হবে।

সম্পাদনা করুন: এটি রেডহাট আরএইচএল 5 এবং 6 মেশিনের জন্যও কাজ করে। এবং স্পেসওয়াক বা পাল্পের মতো ভারী ওজনের সমাধান ব্যবহারের চেয়ে সহজ।

বৈজ্ঞানিক লিনাক্স এখন কমান্ডলাইন থেকে সুরক্ষা আপডেট তালিকাভুক্ত করতে পারে। তদুপরি আমি কেবলমাত্র সুরক্ষা আপডেট প্রয়োগের জন্য একটি সিস্টেম আপডেট করতে পারি, এটি ডিফল্টর চেয়ে ভাল ("কেবলমাত্র সমস্ত কিছু আপডেট করুন! আপনি যে বিষয়টির প্রতি উদ্বিগ্ন নন এবং যেগুলি বাগদানগুলি প্রবর্তন করে সেগুলি সহ)"

আমি এটি বৈজ্ঞানিক লিনাক্স 6.1 এবং একটি 6.4 উভয়ই পরীক্ষা করেছি। কখন এটি আনুষ্ঠানিকভাবে ঘোষণা করা হয়েছিল তা আমি নিশ্চিত নই, তবে যখন আমি এটি জানতে পারি তখন আরও পোস্ট করব।

এখানে কিছু উদাহরণঃ.

সুরক্ষা আপডেটের সংক্ষিপ্তসার তালিকাবদ্ধ করুন:

[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

সিভিই দ্বারা তালিকা:

[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

এবং তারপরে আমি প্রয়োজনীয় পরিবর্তনগুলির সর্বনিম্ন সেট প্রয়োগ করতে পারি

[root@node1 ~]# yum update-minimal --security

অথবা, কেবল সমস্ত কিছু প্যাচ করুন:

[root@node1 ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[root@node1 ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[root@node1 ~]#

যদি আমি এই একই কমান্ডটি CentOS6 বাক্সে চেষ্টা করি তবে আমি কোনও ফল পাই না। আমি এই সত্যের জন্য জানি যে কিছু '137 প্যাকেজ উপলব্ধ' সিকিউরিটি ফিক্সগুলি ধারণ করে, কারণ আমি গতকাল সেন্টোস মেলিংলিস্টগুলির মাধ্যমে ইরটা নোটিশ পেয়েছি।

[root@node1 ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#

আমারও একই সমস্যা ছিল। উপরে উল্লিখিত স্টিভ-মেয়ার এরেটা সাইট থেকে ইয়াম আপডেটস এবং পরামর্শগুলি একসাথে টেনে আনার জন্য আমি পাইথন কোড তৈরি করার সময় কিছুটা ছুরিকাঘাত করেছি (আমি এটি ইনস্টলড প্যাকেজের উপর ভিত্তি করে ফিল্টার করি)।

যদি এটি সহায়তা করে তবে উত্সটি এখানে: https://github.com/wied03/centos-package-cron

যেহেতু আপনার সিএফইঙ্গাইন রয়েছে, আপনি পোস্ট করা সুরক্ষা আপডেটের উপর ভিত্তি করে সিস্টেমে বিভিন্ন গ্রুপে পরিবর্তনগুলি প্রয়োগ করতে পারেন: http://twitter.com/#!/CentOS_Announce

আমি সেখানকার সবচেয়ে বড় সার্ভার সিকিউরিটি ইঞ্জিনিয়ার নই ... তবে সুরক্ষার ক্ষেত্রে আমি কেবলমাত্র কয়েকটি প্যাকেজ সম্পর্কেই যত্নবান বলে মনে করি। জনসাধারণের মুখোমুখি (এসএসএল, এসএসএস, অ্যাপাচি) বা কোনও বড় শোষণ রয়েছে এমন যে কোনও কিছুই অগ্রাধিকার পায়। বাকি সমস্ত কিছুই ত্রৈমাসিকের সাথে মূল্যায়ন করা হয়। আমি এই জিনিসগুলিকে স্বয়ংক্রিয়ভাবে আপগ্রেড করতে চাই না কারণ আপডেট হওয়া প্যাকেজগুলি সম্ভাব্যভাবে একটি উত্পাদন সিস্টেমে অন্যান্য আইটেমগুলি ভেঙে দিতে পারে।

বৈজ্ঞানিক লিনাক্স; না শুধুমাত্র সমর্থন (অন্তত 6.2 এবং 6.3 আমি কোনো 6.1 সিস্টেম বাকি নেই) yum-plugin-securityকিন্তু জন্য কনফিগারেশন ফাইল yum-autoupdate, /etc/sysconfig/yum-autoupdate, পারবেন আপনি শুধুমাত্র নিরাপত্তা সংক্রান্ত আপডেট ইনস্টল করার সক্রিয় করুন।

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"

CentOS এ আপনি ব্যবহার করতে পারেন

yum list updates

ইয়াম-প্লাগ-ইন-সিকিউরিটির পরিবর্তে, বা আপনি সেন্টোস সুরক্ষা নিউজ ফিডের উপর ভিত্তি করে এই স্ক্রিপ্ট স্ক্যানিং চেষ্টা করতে চান: এলভিপিএস ।

আপনি জেনারেট_আপডেটইনফো প্রকল্পও চেষ্টা করতে পারেন । এটি একটি অজগর স্ক্রিপ্ট যা সিইএফএস প্রকল্প errata.latest.xmlদ্বারা সংকলিত ফাইল প্রক্রিয়া করে এবং সুরক্ষা আপডেট মেটাডেটা সহ ফাইল উত্পন্ন করে । তারপরে আপনি এটিকে আপনার স্থানীয় সেন্টোস 6 (7) আপডেটের সংগ্রহস্থলে ইনজেক্ট করতে পারেন। কমান্ড দ্বারা নির্মিত কাস্টম / স্থানীয় সংগ্রহস্থলগুলির সাথে এটি সংহত করা বেশ সহজবোধ্য :updateinfo.xmlcreaterepo

• reposyncকমান্ড সহ আয়না সংগ্রহস্থল
• createrepoকমান্ড দিয়ে স্থানীয় সংগ্রহস্থল তৈরি করুন
• স্ক্রিপ্টের updateinfo.xmlসাথে ফাইলটি ডাউনলোড এবং জেনারেট করুনgenerate_updateinfo.py
• modifyrepoকমান্ড সহ আপনার স্থানীয় সংগ্রহস্থলে উত্পন্ন সুরক্ষা আপডেট মেটাডেটা ইনজেক্ট করুন

CentOS6 এ, আপনি yum- সুরক্ষা প্লাগইন ব্যবহার করতে পারেন:

yum install yum-security

পরিক্ষা কর:

yum --security check-update

কোনও সুরক্ষা আপডেট না থাকলে এই কমান্ডটি কোড 0 প্রদান করে।

Yum-cron এর সাথে একত্রিত হয়ে, আপনি কেবল ফাইল / ইত্যাদি / sysconfig / yum-cron সংশোধন করে উপলভ্য সুরক্ষা আপডেটগুলিতে একটি ইমেল পেতে পারেন:

YUM_PARAMETER="--security"