Назад | Перейти на главную страницу

аудит безопасности помечает номера версий пакетов redhat / centos, несмотря на исправления

Redhat придерживается политики резервное копирование исправлений безопасности.

Но затем, когда сайты RHEL и CentOS проходят аудит, аудиторы неизменно просто перечислите версии пакета или спросите ssh какой у него номер версии, а затем они подводят вас, потому что вы, похоже, используете уязвимую версию, скажем, OpenSSH.

Я вижу только один способ ответить на это:

  1. Составьте список рекомендаций по безопасности RHEL, которые предположительно покажут, что очевидно старый пакет rpm на самом деле исправлен. Бьюсь об заклад, аудитор на самом деле не стал бы это читать.
  2. Просто установите более новый пакет, даже если это бессмысленно. Это намного сложнее, чем кажется, потому что в пакете разработчика не будет init.d скрипты и другие интеграции. И OpenSSH трудно установить поверх себя в центре обработки данных без света, когда это ваш метод удаленного доступа.

Есть идея получше?

Там есть что-то под названием ОВАЛ. Redhat, по крайней мере, раньше давал рекомендации в таком формате. Действительно ли это работает на аудиторов?