Есть ли в Debian аналог фряшного portaudit?

0

0

Собственно нужен subj, аналог фряшного portaudit

http://www.freebsd.org/cgi/url.cgi?ports/ports-mgmt/portaudit/pkg-descr

вариант тупо ставить все патчи по безопасности не подходит в виду того что серверов довольно много и некоторые из них стоят сильно удаленно и занимаюсь ими редко и по минимуму.
На данный момент регулярно обхожу серваки по ssh и обновляю но это нам лениво - соответственно хочется зверюшку которая по крону будет скачивать базу и чекать установленные пакеты на предмет обнаруженных уязвимостей и сообщать мне мылом результат, ну а я уже по необходимости буду патчить.

Рытье в районе www.debian.org позволило обнаружить только списки рассылки по безопасности :(

Ссылка

←	Надо ли защищать loopback ?

его в линухе не хватает старому бздуну для полного щасья?

→

хм а просто настроить апт на секьюрити апдейты

и пускать в кроне apt-get update &> /dev/null

apt-get --print-uris dist-upgrade|grep http

вторая команда будет присылать мыла с перечнем того что там в секьюрити репозитарии лежит но у тебя не обновлено.

ode ☆
(20.03.07 10:36:23 MSK)

Ссылка

http://www.debian-administration.org/articles/44

MiracleMan ★★★★★
(20.03.07 10:47:44 MSK)

Ответ на: комментарий от MiracleMan 20.03.07 10:47:44 MSK

список доступных обновлений с описаниями я получить могу - то не вопрос... но список обнаруженных уязвимостей и список доступных обновлений не есть одно и тоже, хотя-бы потому, что дырки - их не всегда быстро закрывают. именно поэтому хочется чтобы добрые дяди вели базу дырявых пакетов... аналогично portaudit

sabbakka ★★
(21.03.07 03:32:29 MSK) автор топика

Ответ на: комментарий от sabbakka 21.03.07 03:32:29 MSK

portaudit нужен потому, что во FreeBSD порты обновляются не только для того, чтобы заткнуть дырку, но и просто потому, что вышла новая версия upstream. В Debian'е же есть стабильные версии с обновлениями безопасности, которые можно накатывать даже автоматически, так что там такая тулза не нужна. Разве что для эстетов, которые не хотят обновляться с security.debian.org, но непременно хотят увидеть список дыр, которые они при этом оставляют незакрытыми. :)

Teak ★★★★★
(21.03.07 05:48:51 MSK)

Ответ на: комментарий от Teak 21.03.07 05:48:51 MSK

О... я значит эстет... а то все говорят - извращенец... извращенец!
;)

portaudit наличие новых версий не кажет, тока уязвимости... по крайней мере в man portaudit я ничего такого не видел.

а еще не нужно путать например обнаружение уязвимости с появлением пропатченного пакета на security.debian.org
это далеко не одно и тоже как показывает практика... да и обновлять в автомате не кошерно на мой вкус, по крайней мере для продакшн систем.

sabbakka ★★
(22.03.07 05:54:49 MSK) автор топика

Ответ на: комментарий от sabbakka 22.03.07 05:54:49 MSK

> portaudit наличие новых версий не кажет, тока уязвимости...

А я о чём? :) Я и говорю, потому портаудит и нужен. А в дебиане одна уязвимость = одно обновление на security.debian.org

> да и обновлять в автомате не кошерно на мой вкус, по крайней мере для продакшн систем.

К обновлениям с security.debian.org это не относится, там ТОЛЬКО исправления ошибок. Там ничего нового не добавляется принципиально. Если выходит новая версия пакета, в которой исправлены ошибки, то в security.debian.org появляется старая версия, в которую с этой новой перенесены только исправления ошибок, связанных с безопасностью, и больше ничего. Я впрочем не настолько им доверяю, чтобы apt-get upgrade в крон добавлять, но никаких проблем эти обновления не вызвали ни разу.

И вкус тут ни при чём. :)

Teak ★★★★★
(22.03.07 06:13:24 MSK)

Ответ на: комментарий от Teak 22.03.07 06:13:24 MSK

Дык, но где гарнтия что дырку закроют быстро? Вот поэтому и хочется по крайней мере увидить сам факт ее (дырки) наличия, еще до появления затычки.

sabbakka ★★
(24.03.07 05:24:28 MSK) автор топика

Ответ на: комментарий от sabbakka 24.03.07 05:24:28 MSK

Ну... Тогда не знаю. Но вообще оперативно закрывают, а о крупных и действительно важных дырках я лично и так узнаю и быстро.

Teak ★★★★★
(24.03.07 05:48:02 MSK)

Ссылка

Ответ на: комментарий от sabbakka 24.03.07 05:24:28 MSK

> Дык, но где гарнтия что дырку закроют быстро? Вот поэтому и хочется по крайней мере увидить сам факт ее (дырки) наличия, еще до появления затычки.

Обычно мэйнтэйнер(ы) бэкпортит фикс в течение нескольких часов после выхода фикшеной версии от девелопера. Все происходит ОЧЕНЬ быстро. Зато есть 100% гарантия того что после апдейта ничего не разьедется, как бывает порой с конфигами или дефолтами при переходе на свежую версию.

Кстати для автоматического обновления есть apt-cron =)

anonymous
(26.03.07 20:02:50 MSD)