16.9.监测第三方安全问题

近年来,安全领域对漏洞评估的处理方式进行了许多改进。现在几乎任何可用的操作系统都会安装和配置第三方软件,系统被入侵的威胁也会增加。

漏洞评估是安全性的关键因素。虽然 FreeBSD 为基本系统发布安全公告,但为每个第三方软件发布安全公告超出了 FreeBSD 项目的能力范围。有一种方法可以缓解第三方漏洞并警告管理员已知的安全问题。FreeBSD 的一个附加软件 pkg,可明确用于此目的。

pkg 将轮询数据库是否存在安全问题。数据库由 FreeBSD 安全团队和 ports 开发人员更新和维护。

请参考 pkg 的安装说明open in new window

在安装过程中,periodic(8)open in new window 提供了配置文件来维护 pkg 审计数据库,并提供了一种保持数据库更新的计划任务。如果在 periodic.conf(5)open in new window 中把 daily_status_security_pkgaudit_enable 设置为 YES,就可以启用这个功能。确保每日的安全运行邮件被读取,这些邮件会被发送到 root 的电子邮件账户。

安装后,为了随时审计作为 ports 中的第三方软件,管理员可以选择更新数据库并查看已安装软件包的已知漏洞,方法是执行:

# pkg audit -F

pkg 将显示已安装软件中任何已发布的漏洞的消息:

Affected package: cups-base-1.1.22.0_1
Type of problem: cups-base -- HPGL buffer overflow vulnerability.
Reference: <https://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

1 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

通过点击显示的链接打开网络浏览器,管理员可以获得有关漏洞的更多信息。这包括受到影响的 FreeBSD port 版本,以及其他可能包含安全公告的网站。

pkg 是一个功能强大的软件,当与 ports-mgmt/portmasteropen in new window 结合使用时非常有用。