为了跟踪和缓解 Debian 中的安全漏洞,我使用debsecan公用事业。可以使用以下方式找到高评级远程代码执行漏洞的列表:
debsecan | grep "remotely exploitable, high urgency"
要将列表限制为可修复的漏洞,我们可以使用以下命令:
debsecan --suite stretch --only-fixed
为了保持系统更安全,我们可以升级易受攻击的软件包并删除任何不必要的易受攻击的软件包(apt list --installed | grep xx),例如vlc,thunderbird...
debsecan为了使此任务在数据库更新并在我的系统上安装新软件包时更易于日常使用,我如何才能仅获取已安装哪些软件包容易受到远程攻击?
答案1
debsecan默认情况下检查已安装的软件包,因此您需要做的就是过滤其输出(因为它列出了影响已安装软件包的所有漏洞,这意味着它通常会列出每个软件包的多个漏洞):
debsecan | awk '/remotely exploitable/ { vuln[$2]++ } END { for (package in vuln) print package }' | sort
为了获得更好的结果,您当然应该指定套件。
您还可以用来debsecan-create-cron创建一个 cron 作业,每天都会通过电子邮件向您发送报告。