Re: Script per "security update check"

> Ma non è vero !
> Se usi Debian stable e hai in source.list il repository con gli update
> di sicurezza, in teoria puoi stare tranquillo.
> In caso che un qualsiasi programma della versione stable abbia un
> problema, sul repository con gli update di sicurezza troverai un nuovo
> pacchetto col fix in poche ore.

Bé, non è che sia contro Debian ma...

Se usi una Debian stable sei già indietro con le versioni di un bel po'.
Lo stesso dicasi per la RedHat, o qualsiasi altra distro alla sua ultima
release.

L'unico modo per essere a posto con gli aggiornamenti di sicurezza, come
hai detto tu, è installare la distro e fare continui update. Ma questo
lo puoi fare con qualsiasi distro, allora. Non importa se Debian con
apt-get, RedHat con RPM o Gentoo con EMERGE, o chissà cos'altro...


> Dire che non serve a nulla tenere aggiornati i propri sistemi mi sembra
> un tantinello eccessivo, che dici?

Non ho detto questo, infatti...


> > Secondo me la soluzione sta nell'uso di security scanner tipo nessus...
> 
> e questo cosa dovrebbe risolvere? Nessus non può mica trovare bug non
> ancora noti ... e non credo che nessus venga necessariamente aggiornato
> prima che siano disponibili gli aggiornamenti di sicurezza di Debian o
> RH.

Da come ho capito io, il problema era mantenere aggiornato il sistema,
seppur non avendo ancora a disposizione i  pacchetti aggiornati.

Neppure tenere aggiornato il sistema all'ultima versione ti permette di
trovare bug non ancora noti, ti pare??

E' per questo che ho pensato a Nessus. Citazione presa pari pari dal
loro sito:

if you run your web server on port 1234, Nessus will detect it and test
its security. It will not make its security tests regarding the version
number of the remote services, but will really attempt to exploit the
vulnerability.


Nessus non si basa sulla versione del programma che offre il servizio.
Testa effettivamente le vulnerabilità conosciute. La mia idea era quella
di trovare un modo per aggiornare le vulnerabilità conosciute con quelle
menzionate su bugtraq. Non so se sia effettivamente realizzabile ma,
anche se viene da un puro neofita, non mi sembra un'idea così stupida...

Quello che veniva chiesto era un modo *attivo* per mantenere alta la
sicurezza del sistema. Mantenere aggiornati i propri sistemi con le
ultime versioni dei software è una buona cosa, e non era a quello che
andavo contro... Dico solo che non è abbastanza. E' un modo un po'
limitato, *passivo*, per garantire la sicurezza dei propri sistemi.

Se tutti quanti ci limitassimo ad aggiornare le nostre macchine e basta,
i bug, gli exploit ecc ecc non si troverebbero più.


Spero di avere chiarito il mio punto di vista e di non aver creato
malumori in nessuno...


-- 
[ Michele 'vetz' Vetturi ]

Attachment: signature.asc
Description: This is a digitally signed message part