Tento příspěvek je 5. částí série Entropy

security-120Instalace bezpečnostních aktualizací

Na rozdíl od minulého, poněkud ponurého příspěvku, bude tento mnohem více kladný a vlastně v tomto případě není Sabayonu co vytknout. Nejen že dělá co má, ale navíc to dělá velmi dobře a přehledně ( na rozdíl od některých distribucí, např. Debianu, kde situace tak růžová není, nebo CentOSu 7 kde to nelze vůbec ). Článek by mohl mít v názvu “… na serveru” především proto, že na desktopech se obvykle aktualizují všechny balíčky. Na serverech je ale situace jiná a správce může chtít udržovat stabilní stav, právě pouze bezpečnostními aktualizacemi. Nicméně své uplatnění si nástroj najde i na stanicích kde dochází k zpožděné nebo hromadné instalaci ve větších časových intervalech.

Nástroj pro bezpečnost equo-security *

V Sabaonu je přítomný nástroj s názvem equo-security. Lze pomocí něho provádět bezpečnostní kontrolu balíčků operačního systému, prohlížet seznam bezpečnostních zranitelností či hrozeb a aktualizovat pomocí něho dotčené balíčky. Formát příkazu je …

equo security …

případně zkráceně

equo sec …

Kontrola operačního systému – oscheck *

První z možností co s nástrojem provádět s aktualizacemi nesouvisí, nicméně souvisí s bezpečností. Pomocí tohoto parametru lze zkontrolovat kontrolní součty souborů balíčků proti výchozí hodnotě. Ve výpisu se tak objeví například změněné konfigurační soubory. Změněné binární soubory nebo neměněné konfigurace by se ve výpisu objevit neměly a mohou být hrozbou. Tento parametr tedy slouží k lokální kontrole a není závislý na seznamu bezpečnostních hrozeb který uvidíme dále. Kontrola se provádí příkazem …

equo sec oscheck

a výpis může vypadat nějak takto …

oscheck

Stažení seznamu zranitelností – update *

Ke stahování dochází automaticky, ale pokud chcete seznam ručně aktualizovat je to možné příkazem …

equo sec update

Pokud je seznam aktuální vypíše se to, co vidíte na obrázku.

update

V opačném případě dojde ke stažení.

update 2

Prohlížení seznamu – list *

Dlouhý seznam zranitelností a hrozeb lze prohlížet pomocí parametru list.

equo sec list

list

Případně filtrovat pouze záznamy které mají dopad na váš systém.

equo sec list –affected

affected

Červené A pak znamená affected, tedy v systému je přítomna nižší verze než uváděná žlutým písmem v následující hranaté závorce. Tyto balíčky je záhodno aktualizovat.

Aktualizace ovlivněných balíčků – install *

Samotná aktualizace zranitelností ovlivněných balíčků se provádí parametrem install. Příkaz vybere pouze balíčky ovlivněné seznamem hrozeb (viz výše) a bude aktualizovat pouze tyto balíčky. Standardních aktualizací si nevšímá.

equo sec install

install

Příklad ze života *

Pozorný čtenář si nemohl nevšimnout, že list obsahoval openssl, ale aktualizován nebyl. To vysvětlím. Měl jsem v seznamu ovlivněné dva balíčky, openssl a glibc. Nicméně v systému byly instalované dvě verze openssl

openssl

Bezpečnostní aktualizace mi chtěla ale provést pouze reinstalaci nižší verze, jelikož update této verze neexistuje a nová verze je v novém slotu.

reinstall

Proto jsem nejdříve provedl deinstalaci openssl 0.9.8 a teprve následně pustil aktualizaci znovu, kde již balíček openssl nefiguroval (je instalovaná aktuální verze). Zde je potřeba být opatrný, aby v systému neexistovaly závislosti na deinstalovaném balíčku, i když by pochopitelně neměly. Pro jistotu na závěr podobné akce proveďte deptest a případně libtest.