Re: Script per 'security update check'

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2003 ml@sikurezza.org
Soggetto: Re:  Script per 'security update check'
Mittente: Claudio
Data: 2 Aug 2003 19:30:07 -0000

[...]

>> le cose vanno male? O peggio ancora: è un bug sul kernel o su un
>> software non installato via apt?
>
> e se monitorando quelle mailing list trovi qualche fake? e se ti fanno
> installare una patch che introduce nuovi bug di sicurezza? e se invece
> di  installare qualcosa di testato (come sono gli update di debian)
> installi  qualche pacchetto che ti puo' mettere in serio pericolo
> l'integrita' della  macchina ? etc...etc..

Infatti io _non_ farei fare gli updates automaticamente! Da nessun tool.
E non vorrei monitorare "solo" bugtraq, ma più fonti e soprattutto
moderate: non basta un fake di qualcuno che vuole buttare giù un servizio,
ma ci vuole ad esempio un advisory del CERT o simile.


>> Io vorrei al limite (realizzare?) uno script che scaricando SOLO gli
>> advisories prendesse contromisure in base ad impostazioni definite
>> dall'amministratore.
>
> scusami sei molto ambiguo. realizzi questo script ok, ti scarichi SOLO
> gli  advisory, e dopo che ci fai ? apt-get (tanto per fare un esempio)
> fa la  stessa cosa che desideri tu. appena esce un adv, patchano il
> pacchetto e  tu non fai altro che aggionare fixando il vecchio bug.

Ok, probabilmente mi sono spiegato male.
Il punto è: lo script _non_ deve per forza fare upgrade, piuttosto deve
poter eseguire comandi "arbitrari", tipo impostare una regola con
iptables, chiudere un servizio che magari non è critico per chi usa il
server etc. etc.
Esempio pratico: ho un file-server dove gli utenti mettono le copie di
backup dei loro dati. Possono accedervi via sftp/ftp/samba/netatalk, ed
usano https per cambiarsi la password e vedere la quota disco. Io sto in
vacanza ed esce un advisory su netatalk. Lo script "vede" il problema,
manda una mail all'account amministrativo cosicché qualcuno (un mio
collega presente od io al rientro) vede che _qualcosa_ è stato fatto, e
prende una contromisura che io avrò preventivamente deciso,
dipendentemente da quanto quel servizio è importante. Posso decidere che
lo script spenga netatalk perché tanto l'utente ha altri 3 modi per
accedere ai dati.
Tutto questo avviene *prima* che apt trovi un update dispolibile!


> che cosa intendi per "contromisure in base ad impostazioni definite
> dall'amministratore?". l'amministratore quando trova un bug su un
> determinato demone non puo' far altro che aggiornare il pacchetto,
> questa  e' la contromisura. che altro vorresti fare?

Quella che ho esposto sopra: disattivare un servizio, mandare una regola
con iptables, settare un parametro nel kernel tipo echo 1 >
/proc/attiva/regola o qualsiasi altra cosa che, dipendentemente dalle
caratteristiche del server, l'amministratore avrà preventivamente deciso.

Spero di essermi spiegato meglio ;-)

 Claudio



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Script per 'security update check', Andrea Iacopini

Data:
- precedente: riflessione di rfp, Fabio Pietrosanti (naif)
- successivo: Re: raid 5 ... perso, Pierluigi Checchi
- indice

Argomento:
- precedente: Re: riflessione di rfp, Daniele Muscetta
- successivo: Re: Script per 'security update check', Andrea Iacopini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005