glsa 检查是一个用于报告服务器暴露于已知安全漏洞的工具。有没有人编写过一个工具来为基于 apt 的系统做类似的事情?
答案1
检查Debian 的安全指南指的是 Nessus 之类的漏洞扫描程序。虽然 Nessus 不再像以前那样免费,但它仍然被认为是排名第一的 UNIX 漏洞扫描工具。
如果您安装了 Debian 或 Ubuntu 的安全存储库,则可以使用 apt-get upgrade 升级到该存储库,而不必担心安装新软件包,并且可以放心(Debian/Ubuntu 维护人员就是这样的)您将获得您选择安装的版本的修补软件包。
如果仅使用安全性,有些人会选择自动“apt-get update; apt-get upgrade -y”;您的里程可能会有所不同。
答案2
http://lzone.de/Automated+Linux+Package+Vulnerability+Scanning
- Debian: debsecan
- CentOS、Fedora、Redhat:“yum list-security”
- OpenSuSE:“zypper 列表补丁”
- SLES:“rug lu”
- Gentoo:glsa 检查
- FreeBSD: Portaudit
- *拒绝:lynis
答案3
Nessus 可以进行外部扫描,并会通过它在端口上发现的任何内容来发现它所知道的任何问题。但是,除非您使用 Unix 合规性(需要专业的 nessus 源)模块,否则您无法检查扫描主机上实际安装了什么。默认情况下,它与 RedHat 配合得很好,并会为您提供已发布 redhat 建议的软件包列表。据我所知,它与基于 Debian 的系统不同,因此需要有人编写和维护交叉引用 DSA 或 CVE 的插件或 nessus 审计文件。
答案4
正如 Geoff 所指出的那样,GLSA 并不是一个网络漏洞扫描器,它只是一个小脚本,用于将出现的 ebuild 版本与影响官方 gentoo ebuild 的漏洞列表进行比较。详情请参见此处:http://gentoo.devel-net.org/glsa/readme
另一方面,Nessus 仅从网络的角度检查系统,而不是本地检查系统,因此无法发现本地 root 漏洞之类的漏洞。
我不知道 Debian 中是否有等效项,但是如果您觉得开发自己的脚本没问题,请看这里: Debian 安全漏洞追踪器,Debian 安全主页和漏洞相关反馈。