Проверка уязвимостей сервера на Debian с помощью debsecan

Программа debsecan (Debian Security Analyzer) - один из способов узнать, есть ли в безопасности сервера на Debian дыры. Она берёт данные об уязвимостях из официального трекера и проверяет известные угрозы для установленного у вас на сервере ПО. Для старых неподдерживаемых версий ОС может не работать.

Устанавливается командой apt-get install debsecan

Разовая проверка

Простой пример использования - вывести на экран список уязвимостей: debsecan --suite stretch . Strech надо заменить на название вашего релиза ОС. Узнать его можно командой lsb_release -d , оно указано в скобках. Итак, выводится список:

CVE-2020-25659 python3-cryptography
CVE-2017-17087 vim-tiny
CVE-2019-12735 vim-tiny (fixed)
CVE-2018-19211 libncurses5 (low urgency)
CVE-2017-1000158 python3.5 (fixed)
...

CVE расшифровывается Common Vulnerabilities and Exposures. Каждая CVE - это отдельная уязвимость в какой-то программе. В скобках указан статус, например, low urgency - малоопасная уязвимость, fixed - закрытая уязвимость, то есть доступно обновление. Если ничего не указано, то статус пока не присвоен. Вероятно, большая часть для вас не представляет опасности. Особенно, если круг пользователей, имеющих доступ к серверу, ограничен.

Вот так можно посмотреть опасные уязвимости, эксплуатируемые удаленно: debsecan --suite stretch | grep "remotely exploitable, high urgency" (источник)

Посмотреть подробности по CVE: debsecan --suite stretch --format detail

Такое разовое использование может быть полезно при аудите сервера для поиска критических уязвимостей, если вы хотите свести необходимые обновления к минимуму.

Регулярные проверки

Можно настроить регулярную проверку безопасности системы и отправку отчетов по почте командой debsecan-create-cron . Задание ставится в крон /etc/cron.d/debsecan . Отчет будет отправляться раз в сутки.

В конфиге /etc/default/debsecan нужно указать название версии ОС (SUITE=) и почтовый адрес (MAILTO=). Если письма не будут приходить, смотрите лог /var/log/exim4/mainlog . Полученные письма можно фильтровать по фразам "remotely exploitable" и "high urgency".

Письмо выглядит так:

*** New vulnerabilities

CVE-2009-5155 In the GNU C Library (aka glibc or libc6) before...
_https://security-tracker.debian.org/tracker/CVE-2009-5155
- multiarch-support, libc6, locales-all, libc-bin, libc-l10n, locales

CVE-2013-7445 The Direct Rendering Manager (DRM) subsystem in the...
_https://security-tracker.debian.org/tracker/CVE-2013-7445
- linux-image-4.9.0-7-amd64

CVE-2015-8553 Xen allows guest OS users to obtain sensitive...
_https://security-tracker.debian.org/tracker/CVE-2015-8553
- linux-image-4.9.0-7-amd64

CVE-2016-10228 The iconv program in the GNU C Library (aka glibc or...
_https://security-tracker.debian.org/tracker/CVE-2016-10228
- multiarch-support, libc6, locales-all, libc-bin, libc-l10n, locales
(low urgency)

...

Получить список пакетов, для которых доступны обновления - debsecan --suite stretch --only-fixed --format packages . Установить все обновления безопасности - apt-get install $(debsecan --suite stretch --only-fixed --format packages) (источник)

Плюс debsecan в том, что можно оперативно узнавать о новых уязвимостях, оставляя за собой решение о том, какие пакеты обновлять, а какие нет.

Ubuntu

Можно попробовать использовать debsecan на Ubuntu, но это экспериментальное решение.

Смотрите также

Комментарии

Отправить комментарий

Если вы укажете номера тикетов или имя пользователя, отзыв будет выглядеть убедительнее, а провайдеру будет проще разобраться с вашей проблемой

Подробнее о форматировании

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
5 + 7 15 + 8 плюс 3 1