|
1.
Aktualizowanie
Udana instalacja systemu i jego odpowiednie zabezpieczenie to nie wszystko.
Większość włamań do systemów udaje się dzięki wykorzystaniu znanych błędów
w starych wersjach programów. Częste aktualizowanie systemu jest niezbędne dla
zachowania odpowiedniego poziomu bezpieczeństwa.
Przede wszystkim należy się upewnić, że jest zainstalowana najnowsza wersja
Portage. Jeśli ją posiadamy wystarczy wydać polecenie emerge
--sync i zsynchronizować drzewo Portage, a następnie poleceniem
glsa-check --list sprawdzić czy system jest aktualny pod względem
bezpieczeństwa.
Listing 1.1: Przykładowy wynik glsa-check -l |
# glsa-check -l
WARNING: This tool is completely new and not very tested, so it should not be
used on production systems. It's mainly a test tool for the new GLSA release
and distribution system, it's functionality will later be merged into emerge
and equery.
Please read http://www.gentoo.org/proj/en/portage/glsa-integration.xml
before using this tool AND before reporting a bug.
[A] means this GLSA was already applied,
[U] means the system is not affected and
[N] indicates that the system might be affected.
200406-03 [N] sitecopy: Multiple vulnerabilities in included libneon ( net-misc/sitecopy )
200406-04 [U] Mailman: Member password disclosure vulnerability ( net-mail/mailman )
.......
|
Ostrzeżenie:
Narzędzie glsa-check wciąż jest eksperymentalne warto więc sprawdzić
również inne źródła informacji, zwłaszcza jeśli naszym głównym priorytetem jest
maksymalne bezpieczeństwo.
|
Wszystkie linie zawierające [A] oraz [U] mogą zostać zignorowane
ponieważ oznaczają, że system nie jest podatny na błąd opisany w określonym
GLSA.
Ważne:
Warto zauważyć, że używane zwykle polecenie emerge -vpuD world nie musi
zaktualizować wszystkich potencjalnie niebezpiecznych pakietów. Należy zawsze
korzystać z narzędzia glsa-check, które sprawdzi czy wszystkie błędy
opisane w GLSA są naprawione.
|
Listing 1.1: Sprawdzanie zgodności z GLSA |
# glsa-check -t all
WARNING: This tool is completely new and not very tested, so it should not be
used on production systems. It's mainly a test tool for the new GLSA release
and distribution system, it's functionality will later be merged into emerge
and equery.
Please read http://www.gentoo.org/proj/en/portage/glsa-integration.xml
before using this tool AND before reporting a bug.
This system is affected by the following GLSA:
200504-06
200510-08
200506-14
200501-35
200508-12
200507-16
# glsa-check -p $(glsa-check -t all)
Checking GLSA 200504-06
The following updates will be performed for this GLSA:
app-arch/sharutils-4.2.1-r11 (4.2.1-r10)
**********************************************************************
Checking GLSA 200510-08
The following updates will be performed for this GLSA:
media-libs/xine-lib-1.1.0-r5 (1.1.0-r4)
# glsa-check -f $(glsa-check -t all)
|
Jeśli zaktualizowana została jedna z usług działających na serwerze, należy
pamiętać o jej ponownym uruchomieniu.
Zalecamy również dbanie o aktualność jądra systemu.
Aby otrzymywać mail za każdym razem gdy wypuszczane jest GLSA należy
najpierw zapisać się do listy mailingowej gentoo-announce. Instrukcje na
temat dołączania do tej i innych list mailingowych można znaleźć na stronie
Gentoo Linux Mailing List Overview.
Świetnym źródłem informacji dotyczących bezpieczeństwa jest
lista mailingowa bugtraq.
|
