我们是一家只使用 RedHat 的商店。没有 Windows 机器。我们所有的主机都使用 ldaps (636) 进行身份验证。
最近,有一个关于 Active Directory 的 Samba 问题的 CVE。CVE 2020-1472
我们完全不需要 Active Directory 连接。当我们安装 sssd 包时,它具有 sssd-ad 依赖项(用于 Active Directory 支持)。
有没有办法从 sssd 中删除对活动目录支持的依赖?我不想安装任何我不需要的东西。
我们扫描的漏洞显示了这一发现。STIG 明确指出,如果我们的系统上没有 AD 控制器,则无需采取任何措施。不幸的是,我们的安全“经理”主修比基尼和飞盘,他不明白我们真的没有问题,并坚持要求我们修补或删除该软件包。我们的一些系统仍在运行 RH 7.6(甚至 RH 7.3!)。由于优先级更高的内容,升级已被推迟。升级 samba 软件包有几个依赖项,我不确定升级可能有什么不利影响。
答案1
Red Hat 的 sssd 包仅用于需要所有子包。因此,不要安装元包。使用 yum 删除 samba 包,这将删除 sssd-ad。确保安装了所需的特定包,可能是 sssd-common sssd-clients sssd-ldap。测试您的身份验证是否有效。
但是,如果没有安全更新等基本要素,您就无法合规。基本的系统管理,但肯定保持最新状态也列在 STIG 的检查清单上。我怀疑有人将 CVE 列表解析为不灵活的清单。处理这些发现和许多其他任务会导致您的团队忽略维护软件这项繁琐但重要的任务。
RHEL 7.5扩展更新支持已经结束,假设您一开始就订阅了它。您的 RHEL 7.3 盒子肯定落后于更新。到目前为止已经落后了三年多,这是一笔相当大的技术债务。