14.10. 监测第三方安全问题

近年来,安全领域对漏洞评估的处理方式进行了许多改进。随着当今几乎任何可用的操作系统都会安装和配置第三方实用程序,系统入侵的威胁也会增加。

漏洞评估是安全性的关键因素。虽然 FreeBSD 为基础系统发布公告,但为每个第三方实用程序发布建议超出了 FreeBSD 项目的能力范围。有一种方法可以缓解第三方漏洞并警告管理员已知的安全问题。FreeBSD 的一个附加实用程序 pkg,包含了明确用于此目的的选项。

pkg 轮询数据库是否存在安全问题。数据库由 FreeBSD 安全团队和 ports 开发人员更新和维护。

请参考 pkg 的安装说明open in new window

Installation 提供了 periodic(8)open in new window 配置文件来维护 pkg 审计数据库。并提供了一种保持数据库更新的编程方法。如果在 periodic.conf(5)open in new window 中把 daily_status_security_pkgaudit_enable 设置为 YES。就可以启用这个功能。确保每日的安全运行邮件被读取,这些邮件会被发送到 root 的电子邮件账户。

安装后,为了随时审核作为 ports 集合一部分的第三方实用程序,管理员可以选择更新数据库并查看已安装软件包的已知漏洞,方法是调用:

# pkg audit -F

pkg 显示已安装软件包中任何已发布的漏洞的消息:

Affected package: cups-base-1.1.22.0_1
Type of problem: cups-base -- HPGL buffer overflow vulnerability.
Reference: <https://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

1 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

通过将 Web 浏览器指向显示的 URL,管理员可以获得有关漏洞的更多信息。这将包括受 FreeBSD 移植版本影响的版本,以及其他可能包含安全公告的网站。

pkg 是一个功能强大的实用程序,当与 ports-mgmt/portmasteropen in new window 结合使用时非常有用。