14.10. 监测第三方安全问题

近年来,安全领域对漏洞评估的处理方式进行了许多改进。随着当今几乎任何可用的操作系统都会安装和配置第三方实用程序,系统入侵的威胁也会增加。

漏洞评估是安全性的关键因素。虽然 FreeBSD 为基础系统发布公告,但为每个第三方实用程序发布建议超出了 FreeBSD 项目的能力范围。有一种方法可以缓解第三方漏洞并警告管理员已知的安全问题。一个 FreeBSD 附加实用程序称为 pkg,它包含了明确用于此目的的选项。

pkg 轮询数据库是否存在安全问题。数据库由 FreeBSD 安全团队和 ports 开发人员更新和维护。

请参考 pkg 的安装 说明

Installation 提供了 periodic(8) 配置文件来维护 pkg 审计数据库。并提供了一种保持数据库更新的编程方法。如果在 periodic.conf(5) 中把 daily_status_security_pkgaudit_enable 设置为 YES。就可以启用这个功能。确保每日的安全运行邮件被读取,这些邮件会被发送到 root 的电子邮件账户。

安装后,为了随时审核作为 Ports 集合一部分的第三方实用程序,管理员可以选择更新数据库并查看已安装软件包的已知漏洞,方法是调用:

  1. # pkg audit -F

pkg 显示已安装软件包中任何已发布的漏洞的消息:

  1. Affected package: cups-base-1.1.22.0_1
  2. Type of problem: cups-base -- HPGL buffer overflow vulnerability.
  3. Reference: <https://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>
  5. 1 problem(s) in your installed packages found.
  7. You are advised to update or deinstall the affected package(s) immediately.

通过将 Web 浏览器指向显示的 URL,管理员可以获得有关漏洞的更多信息。这将包括受 FreeBSD 移植版本影响的版本,以及其他可能包含安全公告的网站。

pkg 是一个功能强大的实用程序,当与 ports-mgmt/portmaster 结合使用时非常有用。