Мы должны обновить систему, чтобы минимизировать время простоя и устранить проблемы.
Это одна из обычных задач администратора Linux для исправления системы один раз в месяц или максимум 90 дней.
В основном инфраструктура поставляется с тестами, разработками, QA a.k.a Staging & Prod средами.
Первоначально мы будем разворачивать патчи в тестовой среде, и соответствующая команда будет следить за системой в течение недели, после чего они выдадут отчет о состоянии, хороший или плохой.
Если это будет положительным результатом, мы перейдем к другим средам.
Если все будет хорошо, то, наконец, мы будем исправлять производственные серверы.
Многие организации готовятся к исправлению всей системы. я имею в виду полное обновление системы.
Это общий график исправлений для типичной инфраструктуры.
В некоторой инфраструктуре может быть только производственная среда, поэтому они не должны готовиться к полному системному обновлению, вместо этого они могут обойтись патчем безопасности, чтобы сделать систему более стабильной и безопасной.
Поскольку Arch Linux и ее производные дистрибутивы находятся под релизом rolling, обновление можно считать всегда актуальными, так как всегда используются последние версии пакетов программного обеспечения.
В некоторых случаях, если вы хотите обновить патч безопасности самостоятельно, вам необходимо использовать инструмент arch-audit для определения и исправления проблем безопасности.
Что такое уязвимость?
Уязвимость является брешью безопасности в программном обеспечении или аппаратных компонентах (прошивка).
Это недостаток, который может оставить систему открытой для атаки.
Чтобы смягчить этот момент, мы должны это исправлять , как для приложения, так и для оборудования, это может быть изменение кода или изменение конфигурации или изменение параметров.
Что такое Arch-Audit Tool?
Arch-audit – это инструмент, такой же как pkg-audit для системы Arch Linux.
Он использует данные, собранные удивительной командой Arch Security.
Он не будет проверять и находить уязвимые пакеты в вашей системе, такие как yum -security check-update & yum updateinfo, и он просто проанализирует страницу https://security.archlinux.org/ и отобразит результаты в терминале.
Таким образом, он будет показывать точные данные.
Команда Arch Security Team – это группа добровольцев, целью которой является отслеживание проблем безопасности в пакетах Arch Linux.
Все проблемы отслеживаются на контролерах безопасности Arch Linux.
Команда ранее была известна как группа мониторинга Arch CVE.
Миссия команды Arch Security – способствовать повышению безопасности Arch Linux.
Как установить инструмент arch-audit в Arch Linux
Инструмент arch-audit доступен в репозитории сообщества, поэтому вы можете использовать диспетчер пакетов Pacman для его установки.
$ sudo pacman -S arch-audit
Запустите средство arch-audit, чтобы найти открытые уязвимые пакеты в дистрибутивах на основе Arch.
$ arch-audit Package cairo is affected by CVE-2017-7475. Low risk! Package exiv2 is affected by CVE-2017-11592, CVE-2017-11591, CVE-2017-11553, CVE-2017-17725, CVE-2017-17724, CVE-2017-17723, CVE-2017-17722. Medium risk! Package libtiff is affected by CVE-2018-18661, CVE-2018-18557, CVE-2017-9935, CVE-2017-11613. High risk!. Update to 4.0.10-1! Package openssl is affected by CVE-2018-0735, CVE-2018-0734. Low risk! Package openssl-1.0 is affected by CVE-2018-5407, CVE-2018-0734. Low risk! Package patch is affected by CVE-2018-6952, CVE-2018-1000156. High risk!. Update to 2.7.6-7! Package pcre is affected by CVE-2017-11164. Low risk! Package systemd is affected by CVE-2018-6954, CVE-2018-15688, CVE-2018-15687, CVE-2018-15686. Critical risk!. Update to 239.300-1! Package unzip is affected by CVE-2018-1000035. Medium risk! Package webkit2gtk is affected by CVE-2018-4372. Critical risk!. Update to 2.22.4-1!
Вышеприведенный результат показывает статус риска уязвимости, такой как низкий, средний и критический.
Показать только уязвимые имена пакетов и их версии.
$ arch-audit -q cairo exiv2 libtiff>=4.0.10-1 openssl openssl-1.0 patch>=2.7.6-7 pcre systemd>=239.300-1 unzip webkit2gtk>=2.22.4-1
Показать только те пакеты, которые уже были исправлены.
$ arch-audit --upgradable --quiet libtiff>=4.0.10-1 patch>=2.7.6-7 systemd>=239.300-1 webkit2gtk>=2.22.4-1
Чтобы перепроверить приведенные выше результаты, я собираюсь протестировать один из пакетов, указанный выше в https://www.archlinux.org/packages/, чтобы подтвердить, что уязвимость все еще открыта или же исправлена.
Да, он исправлен и опубликован обновленный пакет в репозитории.
Чтобы вывести только имена пакетов и связанные с ними CVE.
$ arch-audit -uf "%n|%c" libtiff|CVE-2018-18661,CVE-2018-18557,CVE-2017-9935,CVE-2017-11613 patch|CVE-2018-6952,CVE-2018-1000156 systemd|CVE-2018-6954,CVE-2018-15688,CVE-2018-15687,CVE-2018-15686 webkit2gtk|CVE-2018-4372