감사

SUSE Multi-Linux Manager에서는 일련의 감사 작업을 통해 고객을 추적할 수 있습니다. 클라이언트에 모든 CVE(공개 보안 패치)가 적용되어 최신 상태인지 확인하고, 구독 일치를 수행하며, OpenSCAP를 사용하여 사양 준수 여부를 확인할 수 있습니다.

In the SUSE Multi-Linux Manager Web UI, navigate to Audit to perform auditing tasks.

1. CVE audits

CVE(공통 취약점 및 노출)는 공개적으로 알려진 보안 취약점에 대한 수정입니다.

사용할 수 있게 된 즉시 CVE를 클라이언트에 적용해야 합니다.

Each CVE contains an identification number, a description of the vulnerability, and links to further information. CVE identification numbers use the form CVE-YEAR-XXXX.

SUSE Multi-Linux Manager Web UI에서 감사  CVE 감사로 이동하여 모든 클라이언트 목록과 현재 패치 상태를 확인합니다.

기본적으로 패치 데이터는 매일 23:00시에 업데이트됩니다. 데이터를 새로 고쳐 최신 패치가 있는지 확인한 후 CVE 감사를 시작하는 것이 좋습니다.

Procedure: Updating patch data
  1. In the SUSE Multi-Linux Manager Web UI, navigate to Admin  Task Schedules and select the cve-server-channels-default schedule.

  2. cve-server-channels-bunch를 클릭합니다.

  3. 단일 실행 일정을 클릭하여 작업을 예약합니다. 작업을 완료한 후 CVE 감사를 계속 진행합니다.

Procedure: Verifying patch status
  1. SUSE Multi-Linux Manager Web UI에서 감사  CVE 감사로 이동합니다.

  2. To check the patch status for a particular CVE, type the CVE identifier in the CVE Number field.

  3. 찾을 패치 상태를 선택하거나 모든 상태를 확인하려면 모든 상태를 선택된 상태로 유지합니다.

  4. 서버 감사를 클릭하여 모든 시스템을 확인하거나 이미지 감사를 클릭하여 모든 이미지를 확인합니다.

이 페이지에서 사용되는 패치 상태 아이콘에 대한 자세한 내용은 CVE 감사에서 확인할 수 있습니다.

For each system, the Actions column provides information about what you need to do to address vulnerabilities. If applicable, a list of candidate channels or patches is also given. You can also assign systems to a System Set for further batch processing.

You can use the SUSE Multi-Linux Manager API to verify the patch status of your clients. Use the audit.listSystemsByPatchStatus API method. For more information about this method, see the SUSE Multi-Linux Manager API Guide.

2. OVAL

CVE 감사 작업에서는 두 가지 주요 데이터 소스인 채널과 OVAL(개방형 취약성 및 평가 언어)을 활용합니다. 이 두 소스는 각각 다른 용도로 CVE 감사를 수행하기 위한 메타데이터를 제공합니다.

채널

채널에는 패치 등 업데이트된 소프트웨어 패키지가 포함되어 있으며, 취약점을 해결하는 데 필요한 필수 패치에 대한 정보를 제공합니다.

OVAL

반면에 OVAL 데이터는 취약점 자체에 대한 정보와 시스템이 CVE에 취약하도록 유발하는 패키지를 제공합니다.

채널 데이터만 사용하여 CVE 감사를 수행하는 것도 가능하지만, OVAL 데이터를 동기화하면 특히 제로데이 취약점이나 부분 패치 취약점과 관련된 경우 결과의 정확성을 향상할 수 있습니다.

OVAL 데이터는 채널 데이터보다 훨씬 가볍습니다. 예를 들어, openSUSE Leap 15.4의 OVAL 데이터는 약 50MB입니다.

OVAL 데이터만 동기화한 경우 이미 CVE 감사를 수행하여 시스템이 CVE에 취약한지 여부를 확인할 수 있지만, 패치는 채널에서 제공되는 것이므로 적용할 수 없습니다.

OVAL 기능의 주요 특징은 다음과 같습니다.

  • Enabled by default: The feature is enabled by default and requires no additional configuration.

  • Reversible: If needed, users can disable OVAL data and revert to the standard channel-based CVE audit. See Disabling OVAL Data Support below.

  • 기본적으로 OVAL 데이터는 매일 23:00시에 업데이트됩니다. 데이터를 새로 고쳐 최신 취약성이 있는지 확인한 후 CVE 감사를 시작하는 것이 좋습니다.

The following procedures can be used to enable, disable, or update OVAL data.

Procedure: Enabling OVAL data support
  1. Add or modify the following setting in file /etc/rhn/rhn.conf in the container:

    java.cve_audit.enable_oval_metadata=true
  2. Tomcat 및 Taskomatic 서비스 다시 시작:

    systemctl restart tomcat taskomatic

Alternatively, use the procedure for disabling OVAL data support.

Procedure: Disabling OVAL data support
  1. Add or modify the following setting in rhn.conf:

    java.cve_audit.enable_oval_metadata=false
  2. Tomcat 및 Taskomatic 서비스 다시 시작:

    systemctl restart tomcat taskomatic
Procedure: Updating OVAL data
  1. In the SUSE Multi-Linux Manager Web UI, navigate to Admin  Task Schedules and select the oval-data-sync-default schedule.

  2. oval-data-sync-bunch를 클릭합니다.

  3. 단일 실행 일정을 클릭하여 작업을 예약합니다.

작업을 완료한 후 CVE 감사를 계속 진행합니다.

2.1. CPE 수집

To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a Salt grain, then we save it to the database.

The CPE of newly registered clients will be automatically collected and saved to the database. However, for existing clients, it is necessary to execute the Update Packages List action at least once.

Procedure: Update packages list
  1. SUSE Multi-Linux Manager Web UI에서 시스템  시스템 목록  모두로 이동하여 클라이언트를 선택합니다.

  2. Then go to the Software tab and select the Packages sub-tab.

  3. 패키지 목록 업데이트를 클릭하여 패키지를 업데이트하고 클라이언트의 CPE를 수집합니다.

2.2. OVAL 소스

OVAL 데이터의 무결성과 최신성을 보장하기 위해 SUSE Multi-Linux Manager은(는) 모든 제품의 공식 관리자로부터 OVAL 데이터를 독점적으로 사용합니다. OVAL 데이터 소스의 목록은 아래에서 확인할 수 있습니다.

Table 1. OVAL 소스
Product Source URL OVAL supported versions in SUSE Multi-Linux Manager

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Server 16
SUSE Linux Enterprise Server 15
SUSE Linux Enterprise Server 12

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Desktop 15

SUSE Linux Enterprise Micro

SUSE Linux Enterprise Micro 5.5
SUSE Linux Enterprise Micro 5.4
SUSE Linux Enterprise Micro 5.3
SUSE Linux Enterprise Micro 5.2

SUSE Linux Micro

SUSE Linux Micro 6.2
SUSE Linux Micro 6.1
SUSE Linux Micro 6.0

SUSE Liberty Linux

SUSE Liberty Linux 10
SUSE Liberty Linux 9
SUSE Liberty Linux 8
SUSE Liberty Linux 7

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

RedHat Enterprise Linux 9
RedHat Enterprise Linux 8
RedHat Enterprise Linux 7

Debian

https://www.debian.org/security/oval

Debian 13
Raspberry Pi OS

Ubuntu

https://security-metadata.canonical.com/oval

Ubuntu 24.04
Ubuntu 22.04

AlmaLinux

https://security.almalinux.org/oval

AlmaLinux 10
AlmaLinux 9
AlmaLinux 8

Oracle Linux

https://linux.oracle.com/security/oval/

Oracle Linux 10
Oracle Linux 9
Oracle Linux 8
Oracle Linux 7

OVAL 메타데이터는 일부 클라이언트, 즉 openSUSE Leap, SUSE 엔터프라이즈 제품, RHEL, Debian 또는 Ubuntu를 사용하는 클라이언트의 하위 세트에 대해서만 CVE 감사에서 사용됩니다. 그 이유는 다른 제품에 대한 OVAL 취약성 정의 메타데이터가 없기 때문입니다.

3. CVE 상태

The CVE status of clients is usually either affected, not affected, or patched. These statuses are based only on the information that is available to SUSE Multi-Linux Manager.

SUSE Multi-Linux Manager 내에서 이러한 정의가 적용되는 대상은 다음과 같습니다.

특정 취약점의 영향을 받는 시스템

취약점으로 표시된 관련 패치의 패키지 버전보다 낮은 버전의 패키지가 설치된 시스템입니다.

특정 취약점의 영향을 받지 않는 시스템

취약점으로 표시된 관련 패치에도 있는 설치된 패키지가 설치되지 않은 시스템입니다.

특정 취약점에 대해 패치된 시스템

취약점으로 표시된 관련 패치와 동일한 패키지 버전 이상의 패키지가 설치된 시스템입니다.

관련 패치

관련 채널에서 SUSE Multi-Linux Manager가 알려진 패치입니다.

관련 채널

SUSE Multi-Linux Manager에서 관리하는 채널로, 시스템에 할당된 채널, 시스템에 할당된 복제된 채널의 원본, 시스템에 설치된 제품에 연결된 채널 또는 시스템에 대한 과거 또는 미래의 서비스 팩 채널입니다.

SUSE Multi-Linux Manager 내에서 사용된 정의로 인해 일부 상황에서는 CVE 감사 결과가 정확하지 않을 수 있습니다. 예를 들어, 관리되지 않는 채널, 관리되지 않는 패키지 또는 미준수 시스템은 잘못 보고할 수 있습니다.