多系统上的补丁管理

Question

我负责审计一个重要的Unix服务器场的安全配置。到目前为止，我想出了一种方法来评估基本的配置，而不是安装的更新。

• 这里的问题就是我不能信任那些机器上的包管理工具。事实上，它们中的一些已经很长时间没有与存储库同步(因此我无法在Redhat上进行"yum检查更新“)。其中一些服务器甚至没有连接到互联网并使用公司的存储库。
• 另一个问题是我有多个目标系统: AIX、Debian、Centos/Redhat等等.因此，版本可能是不同的(AIX)，可用的工具也会有所不同。
• 最后但并非最不重要的是，我不能在目标系统上安装任何东西。因此，我需要使用脚本检索信息，或者:直接处理信息，或者保存信息，以便以后能够在服务器上处理(服务器可能运行与检索信息的发行版不同的版本)。

我能想到的最好的想法是：

• 要么检索机器上安装的包列表(例如，debian上的dpkg -l )，然后在专用服务器上处理它(直接解析debian存储库的“包”文件)。尽管如此，AIX和Redhat的问题仍然是一样的。
• 或者使用Nessus的脚本来评估安装的包上的漏洞，但我发现这有点脏。

有人知道更好/更有效的方法吗？

记者:我已经花时间复习了一些类似问题的答案。不幸的是，厨师木偶..。没有满足我必须满足的要求。

编辑:长话短说。我需要一个Unix系统上缺少更新的列表，就像Windows上的MBSA一样。我无权在这个系统上安装任何东西，因为它不是我的。我只有脚本语言。

谢谢。

Answer 1

通常有某种代理缓存服务充当上游存储库和目标机器之间的中介。它有助于节省带宽并加快部署速度，在RHEL/CentOS世界中(即spacewalk )，在Debian和派生程序中( debmirror )，在AIX世界(可能是NIM服务器)。

考虑到AIX中没有ruby (尽管有些端口确实存在)，您的环境的适当配置管理将是cfengine。如果这看起来太过分了，您也可以尝试ansible，它只需要python。而且，即使对于AIX，也有python。

它也是常见的，甚至预期的版本，服务的名称，包的名称，等等.不同平台的不同。您需要处理数据和代码之间的分离。如果一个成熟的配置管理系统不能满足您的要求，我非常怀疑一堆自制的脚本会不会。

第三个要求：“我不能在目标系统上安装任何东西.”一点也不清楚，而且似乎与您正在使用私有存储库的事实相冲突。

最后但并非最不重要的是，管理包只是您需要执行的任务的1%，以保护和审计您的系统。