15.12 监视第三方安全问题

Contributed by Tom Rhodes.

  过去几年中, 安全领域在如何处理漏洞的评估方面取得了长足的进步。 几乎每一个操作系统都越来越多地安装和配置了第三方工具, 而系统被入侵的威胁也随之增加。

  漏洞的评估是安全的一个关键因素, 尽管 FreeBSD 会发布基本系统的安全公告, 然而为每一个第三方工具都发布安全公告则超出了 FreeBSD Project 的能力。 在这一前提下, 一种减轻第三方漏洞的威胁, 并警告管理员存在已知的安全问题的方法也就应运而生。 名为 Portaudit 的 FreeBSD 附加工具能够帮助您达成这一目的。

  ports-mgmt/portaudit port 会下载一个数据库, 这一数据库是由 FreeBSD Security Team 和 ports 开发人员维护的, 其中包含了已知的安全问题。

  要开始使用 Portaudit, 需要首先从 Ports Collection 安装它:

# cd /usr/ports/ports-mgmt/portaudit && make install clean

  在安装过程中, periodic(8) 的配置文件将被修改, 以便让 Portaudit 能够在每天的安全审计过程中运行。 一定要保证发到 root 帐号的每日安全审计邮件确实有人在读。 除此之外不需要进行更多的配置了。

  安装完成之后, 管理员可以通过下面的命令来更新数据库, 并查看目前安装的软件包中所存在的已知安全漏洞:

# portaudit -Fda

注意: 由于每天执行 periodic(8) 时都会自动更新数据库, 因此, 运行这条命令是可选的。 在这里只是作为例子给出。

  在任何时候, 如果希望对通过 Ports Collection 安装的第三方软件工具进行审计, 管理员都可以使用下面的命令:

# portaudit -a

  针对存在漏洞的软件包, Portaudit 将生成类似下面的输出:

Affected package: cups-base-1.1.22.0_1
Type of problem: cups-base -- HPGL buffer overflow vulnerability.
Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

1 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

  通过访问上面给出的 URL, 管理员能够了解关于那个漏洞的进一步信息。 这些信息通常包括受到影响的 FreeBSD Port 版本, 以及其他可能包含安全公告的网站。

  简而言之, Portaudit 是一个强大的工具, 并能够配合 Portupgrade port 来非常有效地工作。

本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<questions@FreeBSD.org>.
关于本文档的问题请发信联系 <doc@FreeBSD.org>.