В настоящее время мы работаем над оценкой соответствия требованиям PCI на нашем сервере под управлением CentOS.
Мы получаем много «серьезных» проблем с предлагаемыми исправлениями. Предложения по устранению проблем в основном заключаются в обновлении пакетов до последней версии. Я подумал о здравом совете, пока я не запустил «sudo yum update», а затем снова запустил это сканирование, и, к сожалению, проблемы не исчезли.
Я поговорил с нашим хостинг-провайдером (это выделенный сервер), и они сказали, что, хотя версия актуальна, в ней будут различные исправления, исправляющие известные проблемы безопасности.
Они предложили запустить команду журнала изменений для пакетов, а затем обжаловать каждую из серьезных проблем, отмеченных при сканировании. Итак, я пошел, чтобы создать апелляцию по первому вопросу, и он попросил указать версию пакета, уровень исправления и причину, по которой я считаю, что мы освобождены.
Итак, каков самый простой способ показать номер версии и уровень исправления для каждого отдельного установленного пакета в CentOS?
rpm -q <package name> предоставит вам номер версии программного обеспечения, а также номер выпуска пакета, но вам нужно будет изучить содержимое rpm --changelog <package name> чтобы определить, какие исправления были применены.
Ваш аудитор PCI - идиот (quel сюрприз). Они просто запускают автоматизированный инструмент, такой как nessus, который ничего не делает, кроме как сравнивает заявленную версию службы со списком уязвимостей для вверх по течению версия - они не говорят «эй, это уровень патча N этого пакета, RedHat уже пропатчил его для всех известных уязвимостей».
В конце концов, вам нужно будет получить список CVE, для которых в отчете указано, что вы уязвимы (если аудитор не может дать вам этого ... ну, они являются идиоты, так что вы уже облажались), а затем покопайтесь в журналах изменений CentOS, чтобы убедиться, что они исправлены (также может быть система отчетов о безопасности, которую вы можете просмотреть). В RHN есть своего рода служба поиска CVE, но поскольку вы не платите за RHEL, у вас, вероятно, не будет к ней доступа.
Чтобы перечислить все пакеты:
rpm -qa
Чтобы перечислить все пакеты, соответствующие простому шаблону:
rpm -qa 'kernel*'