审计

在 SUSE Multi-Linux Manager 中,您可以通过一系列审计任务来跟踪客户端。您可以检查客户端上是否安装了所有最新的公共安全补丁 (CVE),执行订阅匹配,并使用 OpenSCAP 检查合规性。

In the SUSE Multi-Linux Manager Web UI, navigate to Audit to perform auditing tasks.

1. CVE audits

CVE(常见漏洞和披露)是对公开已知安全漏洞的修复方案。

只要有可用的 CVE,就必须在客户端上应用它们。

Each CVE contains an identification number, a description of the vulnerability, and links to further information. CVE identification numbers use the form CVE-YEAR-XXXX.

在 SUSE Multi-Linux Manager Web UI 中,导航到审计  CVE 审计 以查看所有客户端及其当前补丁状态的列表。

默认情况下,补丁数据在每天 23:00 更新。我们建议您在开始进行 CVE 审计之前刷新数据,以确保应用最新的补丁。

Procedure: Updating patch data
  1. In the SUSE Multi-Linux Manager Web UI, navigate to Admin  Task Schedules and select the cve-server-channels-default schedule.

  2. 单击 cve-server-channels-bunch

  3. 单击 单次运行安排 以安排任务。等待该任务完成,然后继续进行 CVE 审计。

Procedure: Verifying patch status
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到审计  CVE 审计

  2. To check the patch status for a particular CVE, type the CVE identifier in the CVE Number field.

  3. 选择您要查看的补丁状态,或保持选中所有状态以查看所有补丁状态。

  4. 单击 审计服务器 检查所有系统,或单击 审计映像 检查所有映像。

有关此页面上使用的补丁状态图标的详细信息,请参见 CVE 审计

For each system, the Actions column provides information about what you need to do to address vulnerabilities. If applicable, a list of candidate channels or patches is also given. You can also assign systems to a System Set for further batch processing.

You can use the SUSE Multi-Linux Manager API to verify the patch status of your clients. Use the audit.listSystemsByPatchStatus API method. For more information about this method, see the SUSE Multi-Linux Manager API Guide.

2. OVAL

CVE 审计操作依赖于两个主要数据源:通道和 OVAL(开放漏洞与评估语言)。这两个数据源为 CVE 审计提供元数据,且各自具备独特作用。

通道

通道包含更新后的软件包(包括补丁),并提供针对漏洞修复所需关键补丁的洞察信息。

OVAL

与之相对,OVAL 数据提供漏洞本身的信息,以及导致系统容易因某个 CVE 而受到攻击的软件包。

尽管仅使用通道数据即可进行 CVE 审计,但同步 OVAL 数据可提升结果的准确性,尤其是在处理零日漏洞或部分修补的漏洞时。

OVAL 数据相比通道数据更轻量。例如,openSUSE Leap 15.4 的 OVAL 数据约有 50 MB。

仅同步 OVAL 数据时,您可执行 CVE 审计并检查系统是否容易因某个 CVE 而受到攻击,但无法应用补丁,因为补丁来自通道。

OVAL 功能的核心特性包括:

  • Enabled by default: The feature is enabled by default and requires no additional configuration.

  • Reversible: If needed, users can disable OVAL data and revert to the standard channel-based CVE audit. See Disabling OVAL Data Support below.

  • OVAL 数据在每天 23:00 更新。我们建议您在开始进行 CVE 审计之前刷新数据,以确保获得最新的漏洞元数据。

The following procedures can be used to enable, disable, or update OVAL data.

Procedure: Enabling OVAL data support
  1. Add or modify the following setting in file /etc/rhn/rhn.conf in the container:

    java.cve_audit.enable_oval_metadata=true
  2. 重启 Tomcat 和 Taskomatic 服务:

    systemctl restart tomcat taskomatic

Alternatively, use the procedure for disabling OVAL data support.

Procedure: Disabling OVAL data support
  1. Add or modify the following setting in rhn.conf:

    java.cve_audit.enable_oval_metadata=false
  2. 重启 Tomcat 和 Taskomatic 服务:

    systemctl restart tomcat taskomatic
Procedure: Updating OVAL data
  1. In the SUSE Multi-Linux Manager Web UI, navigate to Admin  Task Schedules and select the oval-data-sync-default schedule.

  2. 单击 oval-data-sync-bunch

  3. 单击 单次运行安排 以安排任务。

等待该任务完成,然后继续进行 CVE 审计。

2.1. 收集 CPE

To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a Salt grain, then we save it to the database.

The CPE of newly registered clients will be automatically collected and saved to the database. However, for existing clients, it is necessary to execute the Update Packages List action at least once.

Procedure: Update packages list
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到系统  系统列表  全部,然后选择一个客户端。

  2. Then go to the Software tab and select the Packages sub-tab.

  3. 单击 更新软件包列表,更新软件包并收集客户端的 CPE。

2.2. OVAL 数据源

为确保 OVAL 数据的完整性和时效性,SUSE Multi-Linux Manager 仅使用各产品官方维护者提供的 OVAL 数据。以下是 OVAL 数据源列表:

Table 1. OVAL 数据源
Product Source URL OVAL supported versions in SUSE Multi-Linux Manager

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Server 16
SUSE Linux Enterprise Server 15
SUSE Linux Enterprise Server 12

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Desktop 15

SUSE Linux Enterprise Micro

SUSE Linux Enterprise Micro 5.5
SUSE Linux Enterprise Micro 5.4
SUSE Linux Enterprise Micro 5.3
SUSE Linux Enterprise Micro 5.2

SUSE Linux Micro

SUSE Linux Micro 6.2
SUSE Linux Micro 6.1
SUSE Linux Micro 6.0

SUSE Liberty Linux

SUSE Liberty Linux 10
SUSE Liberty Linux 9
SUSE Liberty Linux 8
SUSE Liberty Linux 7

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

RedHat Enterprise Linux 9
RedHat Enterprise Linux 8
RedHat Enterprise Linux 7

Debian

https://www.debian.org/security/oval

Debian 13
Raspberry Pi OS

Ubuntu

https://security-metadata.canonical.com/oval

Ubuntu 24.04
Ubuntu 22.04

AlmaLinux

https://security.almalinux.org/oval

AlmaLinux 10
AlmaLinux 9
AlmaLinux 8

Oracle Linux

https://linux.oracle.com/security/oval/

Oracle Linux 10
Oracle Linux 9
Oracle Linux 8
Oracle Linux 7

OVAL 元数据仅在部分客户端(即使用 openSUSE Leap、SUSE 企业产品、RHEL、Debian 或 Ubuntu 的客户端)的 CVE 审计中使用。这是由于其他产品缺乏 OVAL 漏洞定义元数据。

3. CVE 状态

The CVE status of clients is usually either affected, not affected, or patched. These statuses are based only on the information that is available to SUSE Multi-Linux Manager.

在 SUSE Multi-Linux Manager 中,以下定义适用:

受特定漏洞影响的系统

系统中安装的某个软件包版本低于标记为漏洞的相关补丁中相同软件包的版本。

不受特定漏洞影响的系统

同时包含在标记为漏洞的相关补丁中的软件包未安装在系统上。

针对某个漏洞进行了修补的系统

系统中安装的某个软件包版本等同于或高于标记为漏洞的相关补丁中相同软件包的版本。

相关补丁

SUSE Multi-Linux Manager 在相关通道中已知的补丁。

相关通道

由 SUSE Multi-Linux Manager 管理的通道,该通道被指派到系统、是指派到系统的克隆通道的原始通道、是链接到系统上安装的产品的通道,或者是系统的过去或将来的服务包通道。

由于 SUSE Multi-Linux Manager 中使用的定义,CVE 审计结果在某些情况下可能不正确。例如,非受管通道、非受管软件包或不合规的系统可能会错误地报告结果。