감사
SUSE Multi-Linux Manager에서는 일련의 감사 작업을 통해 고객을 추적할 수 있습니다. 클라이언트에 모든 CVE(공개 보안 패치)가 적용되어 최신 상태인지 확인하고, 구독 일치를 수행하며, OpenSCAP를 사용하여 사양 준수 여부를 확인할 수 있습니다.
SUSE Multi-Linux Manager Web UI에서 감사로 이동하여 감사 작업을 수행합니다.
1. CVE 감사
A CVE (Common Vulnerabilities and Exposures) is a fix for a publicly known security vulnerability.
|
사용할 수 있게 된 즉시 CVE를 클라이언트에 적용해야 합니다. |
각 CVE에는 식별 번호, 취약성에 대한 설명 및 추가 정보에 대한 링크가 포함되어 있습니다. CVE 식별 번호의 형식은 CVE-YEAR-XXXX입니다.
SUSE Multi-Linux Manager Web UI에서 로 이동하여 모든 클라이언트 목록과 현재 패치 상태를 확인합니다.
By default, the patch data is updated at 23:00 every day. We recommend that before you begin a CVE audit you refresh the data to ensure you have the latest patches.
-
SUSE Multi-Linux Manager Web UI에서 으로 이동하여
cve-server-channels-default일정을 선택합니다. -
cve-server-channels-bunch를 클릭합니다.
-
Click Single Run Schedule to schedule the task. Allow the task to complete before continuing with the CVE audit.
-
SUSE Multi-Linux Manager Web UI에서 로 이동합니다.
-
특정 CVE의 패치 상태를 확인하려면
CVE 번호필드에 CVE 식별자를 입력합니다. -
찾을 패치 상태를 선택하거나 모든 상태를 확인하려면 모든 상태를 선택된 상태로 유지합니다.
-
서버 감사를 클릭하여 모든 시스템을 확인하거나 이미지 감사를 클릭하여 모든 이미지를 확인합니다.
이 페이지에서 사용되는 패치 상태 아이콘에 대한 자세한 내용은 CVE 감사에서 확인할 수 있습니다.
For each system, the Actions column provides information about what you need to do to address vulnerabilities. If applicable, a list of candidate channels or patches is also given. You can also assign systems to a System Set for further batch processing.
SUSE Multi-Linux Manager API를 사용하여 클라이언트의 패치 상태를 확인할 수 있습니다. audit.listSystemsByPatchStatus API 메소드를 사용하면 됩니다. 이 방법에 대한 자세한 내용은 SUSE Multi-Linux Manager API 가이드에서 확인할 수 있습니다.
2. OVAL
|
In addition to retrieving CVE information from channel data, SUSE Multi-Linux Manager now includes an experimental feature that fetches CVE details from OVAL files. This functionality is currently considered a Technology Preview. Users are encouraged to experiment with this feature and share feedback. However, it is not yet recommended for production use without thorough testing in a test environment. |
The CVE Audit operation relies on two primary data sources: channels and OVAL (Open Vulnerability and Assessment Language). These two sources provide the metadata for conducting CVE audits, each serving a distinct purpose.
- 채널
-
Channels include the updated software packages, including the patches, and provide insights into the essential patches required to address vulnerabilities.
- OVAL (Technology Preview)
-
In contrast, OVAL data supply the information about vulnerabilities themselves, and packages that render a system vulnerable to a CVE.
While it is possible to conduct CVE audits using only channels data, synchronizing OVAL data enhances the accuracy of the results, particularly in cases involving zero-day vulnerabilities or partially patched vulnerabilities.
OVAL data is much more lightweight than channels data. For example, OVAL data for openSUSE Leap 15.4 is around 50 MB.
Having synced OVAL data only, you can already perform CVE audits and check if your systems are vulnerable or not to a CVE, but you can’t apply patches since they come from channels.
|
Key characteristics of the OVAL feature include:
|
-
Add or modify the following setting in
rhn.conf:java.cve_audit.enable_oval_metadata=true
-
Restart the Tomcat and Taskomatic services:
systemctl restart tomcat taskomatic
If you encounter issues and need to revert to the default behavior, disable the feature by setting:
-
Add or modify the following setting in
rhn.conf:java.cve_audit.enable_oval_metadata=false
-
Restart the Tomcat and Taskomatic services:
systemctl restart tomcat taskomatic
-
In the SUSE Multi-Linux Manager Web UI, navigate to and select the
oval-data-sync-defaultschedule. -
Click oval-data-sync-bunch.
-
단일 실행 일정을 클릭하여 작업을 예약합니다.
작업을 완료한 후 CVE 감사를 계속 진행합니다.
2.1. Collect CPE
To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a salt grain, then we save it to the database.
The CPE of newly registered clients will be automatically collected and saved to the database. However, for existing clients, it is necessary to execute the Update Packages List action at least once.
-
In the SUSE Multi-Linux Manager Web UI, navigate to and select a client.
-
Then go to the
Softwaretab and select thePackagessub-tab. -
Click Update Packages List to update packages and collect the CPE of client.
2.2. OVAL Sources
To ensure the integrity and currency of the OVAL data, SUSE Multi-Linux Manager exclusively consumes OVAL data from the official maintainers of every product. Below, you can find the list of OVAL data sources.
| Product | Source URL |
|---|---|
openSUSE Leap |
|
openSUSE Leap Micro |
|
SUSE Linux Enterprise Server |
|
SUSE Linux Enterprise Desktop |
|
SUSE Linux Enterprise Micro |
|
RedHat Enterprise Linux |
|
Debian |
|
Ubuntu |
|
OVAL metadata is used in CVE auditing for only a subset of clients, namely, clients that use openSUSE Leap, SUSE enterprise products, RHEL, Debian or Ubuntu. This is due to the absence of OVAL vulnerability definitions metadata for the other products. |
3. CVE 상태
클라이언트의 CVE 상태는 일반적으로 영향을 받음, 영향을 받지 않음 또는 패치됨입니다. 이러한 상태는 SUSE Multi-Linux Manager에서 사용할 수 있는 정보만으로 결정됩니다.
SUSE Multi-Linux Manager 내에서 이러한 정의가 적용되는 대상은 다음과 같습니다.
- 특정 취약점의 영향을 받는 시스템
-
취약점으로 표시된 관련 패치의 패키지 버전보다 낮은 버전의 패키지가 설치된 시스템입니다.
- 특정 취약점의 영향을 받지 않는 시스템
-
취약점으로 표시된 관련 패치에도 있는 설치된 패키지가 설치되지 않은 시스템입니다.
- 특정 취약점에 대해 패치된 시스템
-
취약점으로 표시된 관련 패치와 동일한 패키지 버전 이상의 패키지가 설치된 시스템입니다.
- 관련 패치
-
관련 채널에서 SUSE Multi-Linux Manager가 알려진 패치입니다.
- 관련 채널
-
SUSE Multi-Linux Manager에서 관리하는 채널로, 시스템에 할당된 채널, 시스템에 할당된 복제된 채널의 원본, 시스템에 설치된 제품에 연결된 채널 또는 시스템에 대한 과거 또는 미래의 서비스 팩 채널입니다.
|
SUSE Multi-Linux Manager 내에서 사용된 정의로 인해 일부 상황에서는 CVE 감사 결과가 정확하지 않을 수 있습니다. 예를 들어, 관리되지 않는 채널, 관리되지 않는 패키지 또는 미준수 시스템은 잘못 보고할 수 있습니다. |