Команда Vulners представляет дополнительный метод аудита для дистрибутивов Linux CentOS версий 7 и 8 с помощью исправлений для centos.
Errata – это yum-plugin-security для установки только обновлений безопасности/исправления отдельных уязвимостей в системах Linux.
Какой смысл каждый раз устанавливать ВСЕ ОБНОВЛЕНИЯ?
Давай расскажем подробнее.
Исправления для CentOS – это та же защита yum-plugin-security, что и для RHEL.
Почему так важно иметь возможность устанавливать отдельные рекомендации или исправлять отдельные уязвимости?
При установке всех полных обновлений возможно, что какое-то обновление может повлиять на приложение/службу/что-то важное на вашем сервере.
Проблемы любой критической системы – это проблемы для бизнеса: деньги, репутация, любые риски и т.д.
Изначально команда Vulners начала разрабатывать такое решение, потому что оно нужно им самим из-за наличия Linux CentOS в их инфраструктуре.
Они провели исследование и не нашли бесплатных или качественных рабочих решений.
Затем команда приступила к реализации своего собственного решения, и они поделились этим с сообществом информационной безопасности.
Как это работает?
Хорошо, звучит круто, но как это попробовать?
Преимущество использования исправлений для CentOS заключается в том, что вы можете начать делать это прямо сейчас, выполнив несколько шагов (например, через ansible):
1. Получите бесплатную лицензию и создайте ключ API
2. Добавьте репозиторий в вашу систему:
cat /etc/yum.repos.d/vulners-errata.repo
[vulners-errata]
name=Vulners Errata
baseurl=https://<your apikey here>@vulners.com/errata/centos/$releasever
enabled=1
gpgcheck=03. После шага 1 вы можете начать использовать следующие полезные команды:
yum updateinfo list
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 0:01:09 ago on Wed Jun 2 14:48:13 2021.
RHSA-2021:1679 Important/Sec. bash-4.4.19-14.el8.x86_64
RHSA-2021:1582 Moderate/Sec. cpio-2.12-10.el8.x86_64
RHSA-2021:1610 Moderate/Sec. curl-7.61.1-18.el8.x86_64
RHSA-2020:5634 Important/Sec. dracut-049-95.git20200804.el8_3.4.x86_64
RHSA-2020:5634 Important/Sec. dracut-network-049-95.git20200804.el8_3.4.x86_64# yum list-sec cves
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 0:01:35 ago on Wed Jun 2 14:48:13 2021.
CVE-2019-18276 Important/Sec. bash-4.4.19-14.el8.x86_64
CVE-2019-14866 Moderate/Sec. cpio-2.12-10.el8.x86_64
CVE-2020-8231 Moderate/Sec. curl-7.61.1-18.el8.x86_644. Начните установку только необходимых вам обновлений:
yum update-minimal –cve CVE-2020-8566
yum update-minimal –advisory RHSA-2020: 5634
5 *. Можно добавить установку обновлений прямо в /etc/cron.d/security-update:
<required time format> root /usr/bin/yum -y update-minimal --securityТеперь вы можете отказаться от дорогостоящего решения для оценки уязвимости!
Заключение
Как упоминалось выше, Vulners провели некоторое исследование подходящих решений.
По результатам они не смогли найти инструмент для решения поставленных задач.
С технической точки зрения это выглядит следующим образом.
Vulners каждые 2 часа ищет новые рекомендации, подходящие для CentOS.
Затем он правильно их подготавливает и возвращает пользователю свежий список рекомендаций/ CVE.
1 сервер – 1 запрос API – обновление.
Если вы достаточно продвинуты, вы можете реализовать кеш таких запросов со своей стороны и сэкономить на лимитах API.
По опыту Vulners, стандартный цикл обновления – 1 неделя.
В этом режиме ограничения бесплатного API достаточно для проведения аудита безопасности для большинства компаний.
