16.9.监测第三方安全问题
=======================

近年来，安全领域对漏洞评估的处理方式进行了许多改进。现在几乎任何可用的操作系统都会安装和配置第三方软件，系统被入侵的威胁也会增加。

漏洞评估是安全性的关键因素。虽然 FreeBSD 为基本系统发布安全公告，但为每个第三方软件发布安全公告超出了 FreeBSD 项目的能力范围。有一种方法可以缓解第三方漏洞并警告管理员已知的安全问题。FreeBSD 的一个附加软件 pkg，可明确用于此目的。

pkg 将轮询数据库是否存在安全问题。数据库由 FreeBSD 安全团队和 ports 开发人员更新和维护。

请参考 `pkg 的安装说明 <https://docs.freebsd.org/en/books/handbook/ports/index.html#pkgng-intro>`__\ 。

在安装过程中，\ `periodic(8) <https://www.freebsd.org/cgi/man.cgi?query=periodic&sektion=8&format=html>`__ 提供了配置文件来维护 pkg 审计数据库，并提供了一种保持数据库更新的计划任务。如果在 `periodic.conf（5） <https://www.freebsd.org/cgi/man.cgi?query=periodic.conf&sektion=5&format=html>`__ 中把 ``daily_status_security_pkgaudit_enable`` 设置为 ``YES``\ ，就可以启用这个功能。确保每日的安全运行邮件被读取，这些邮件会被发送到 ``root`` 的电子邮件账户。

安装后，为了随时审计作为 ports 中的第三方软件，管理员可以选择更新数据库并查看已安装软件包的已知漏洞，方法是执行：

.. raw:: latex

   \diilbookstyleinputcell

.. code:: shell-session

   # pkg audit -F

pkg 将显示已安装软件中任何已发布的漏洞的消息：

.. raw:: latex

   \diilbookstyleinputcell

.. code:: shell-session

   Affected package: cups-base-1.1.22.0_1
   Type of problem: cups-base -- HPGL buffer overflow vulnerability.
   Reference: <https://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

   1 problem(s) in your installed packages found.

   You are advised to update or deinstall the affected package(s) immediately.

通过点击显示的链接打开网络浏览器，管理员可以获得有关漏洞的更多信息。这包括受到影响的 FreeBSD port 版本，以及其他可能包含安全公告的网站。

pkg 是一个功能强大的软件，当与 `ports-mgmt/portmaster <https://cgit.freebsd.org/ports/tree/ports-mgmt/portmaster/pkg-descr>`__ 结合使用时非常有用。