Redhat 有以下政策反向移植安全修复。
但是当 RHEL 和 CentOS 网站接受审计时,审计人员总是只需列出软件包版本或询问ssh它的版本号,然后它们就会让您失败,因为您似乎正在运行一个易受攻击的版本,比如 OpenSSH。
我能想到的唯一应对此问题的方法是:
- 编制一份 RHEL 安全公告列表,该列表大概会显示看似旧的 rpm 实际上已打过补丁。但我敢打赌审计员实际上不会阅读它。
- 只需安装一个较新的软件包,即使这毫无意义。这比听起来要困难得多,因为开发人员的软件包不会包含
init.d脚本和其他集成。当 OpenSSH 是您的远程访问方法时,很难在无人值守的数据中心自行安装。
有更好的主意吗?
有一种叫做 OVAL 的东西。Redhat 至少曾经以这种格式提供咨询。它对审计员真的有效吗?