16.9.监测第三方安全问题

近年来,安全领域对漏洞评估的处理方式进行了许多改进。现在几乎任何可用的操作系统都会安装和配置第三方软件,系统被入侵的威胁也会增加。

漏洞评估是安全性的关键因素。虽然 FreeBSD 为基本系统发布安全公告,但为每个第三方软件发布安全公告超出了 FreeBSD 项目的能力范围。有一种方法可以缓解第三方漏洞并警告管理员已知的安全问题。FreeBSD 的一个附加软件 pkg,可明确用于此目的。

pkg 将轮询数据库是否存在安全问题。数据库由 FreeBSD 安全团队和 ports 开发人员更新和维护。

请参考 pkg 的安装说明

在安装过程中,periodic(8) 提供了配置文件来维护 pkg 审计数据库,并提供了一种保持数据库更新的计划任务。如果在 periodic.conf(5) 中把 daily_status_security_pkgaudit_enable 设置为 YES,就可以启用这个功能。确保每日的安全运行邮件被读取,这些邮件会被发送到 root 的电子邮件账户。

安装后,为了随时审计作为 ports 中的第三方软件,管理员可以选择更新数据库并查看已安装软件包的已知漏洞,方法是执行:

# pkg audit -F

pkg 将显示已安装软件中任何已发布的漏洞的消息:

Affected package: cups-base-1.1.22.0_1
Type of problem: cups-base -- HPGL buffer overflow vulnerability.
Reference: <https://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

1 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

通过点击显示的链接打开网络浏览器,管理员可以获得有关漏洞的更多信息。这包括受到影响的 FreeBSD port 版本,以及其他可能包含安全公告的网站。

pkg 是一个功能强大的软件,当与 ports-mgmt/portmaster 结合使用时非常有用。