Documentation survey

审计

在 SUSE Multi-Linux Manager 中,您可以通过一系列审计任务来跟踪客户端。您可以检查客户端上是否安装了所有最新的公共安全补丁 (CVE),执行订阅匹配,并使用 OpenSCAP 检查合规性。

在 SUSE Multi-Linux Manager Web UI 中,导航到审计执行审计任务。

1. CVE 审计

CVE(常见漏洞和披露)是对公开已知安全漏洞的修复方案。

只要有可用的 CVE,就必须在客户端上应用它们。

每个 CVE 包含一个标识号、漏洞说明以及更多信息的链接。CVE 标识号使用 CVE-YEAR-XXXX 格式。

在 SUSE Multi-Linux Manager Web UI 中,导航到审计  CVE 审计 以查看所有客户端及其当前补丁状态的列表。

默认情况下,补丁数据在每天 23:00 更新。我们建议您在开始进行 CVE 审计之前刷新数据,以确保应用最新的补丁。

过程:更新补丁数据
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到管理  任务日程安排,然后选择 cve-server-channels-default 日程安排。

  2. 单击 cve-server-channels-bunch

  3. 单击 单次运行安排 以安排任务。等待该任务完成,然后继续进行 CVE 审计。

过程:校验补丁状态
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到审计  CVE 审计

  2. 要检查特定 CVE 的补丁状态,请在 CVE 编号字段中键入 CVE 标识符。

  3. 选择您要查看的补丁状态,或保持选中所有状态以查看所有补丁状态。

  4. 单击 审计服务器 检查所有系统,或单击 审计映像 检查所有映像。

有关此页面上使用的补丁状态图标的详细信息,请参见 CVE 审计

对于每个系统,操作列会提供有关需要采取哪些措施才能解决漏洞的信息。如果适用,其中还会列出候选通道或补丁。您还可以将系统分配到系统集以便后续进行批处理。

可以使用 SUSE Multi-Linux Manager API 来校验客户端的补丁状态。使用 audit.listSystemsByPatchStatus API 方法。有关此方法的详细信息,请参见《SUSE Multi-Linux Manager API 指南》。

2. OVAL

除了从通道数据中检索 CVE 信息外,SUSE Multi-Linux Manager 现新增了一项实验性功能,可从 OVAL 文件中获取 CVE 详情。此功能当前属于技术预览阶段。

我们鼓励用户体验该功能并反馈意见,但在测试环境中完成全面测试前,暂不建议将其用于生产环境。

CVE 审计操作依赖于两个主要数据源:通道和 OVAL(开放漏洞与评估语言)。这两个数据源为 CVE 审计提供元数据,且各自具备独特作用。

通道

通道包含更新后的软件包(包括补丁),并提供针对漏洞修复所需关键补丁的洞察信息。

OVAL(技术预览)

与之相对,OVAL 数据提供漏洞本身的信息,以及导致系统容易因某个 CVE 而受到攻击的软件包。

尽管仅使用通道数据即可进行 CVE 审计,但同步 OVAL 数据可提升结果的准确性,尤其是在处理零日漏洞或部分修补的漏洞时。

OVAL 数据相比通道数据更轻量。例如,openSUSE Leap 15.4 的 OVAL 数据约有 50 MB。

仅同步 OVAL 数据时,您可执行 CVE 审计并检查系统是否容易因某个 CVE 而受到攻击,但无法应用补丁,因为补丁来自通道。

OVAL 功能的核心特性包括:

  • 默认禁用:该功能默认处于关闭状态,用户必须通过更新配置文件 rhn.conf 并重启动相关服务来明确启用。

  • 可回退:如果出现问题,用户可回退至基于标准通道的 CVE 审计模式。

  • 性能考量:虽已完成初步测试,但性能仍存在优化空间,后续可能需要进一步改进。

  • OVAL 数据在每天 23:00 更新。我们建议您在开始进行 CVE 审计之前刷新数据,以确保获得最新的漏洞元数据。

过程:启用 OVAL 数据支持
  1. rhn.conf 中添加或修改以下设置:

    java.cve_audit.enable_oval_metadata=true
  2. 重启动 Tomcat 和 Taskomatic 服务:

    systemctl restart tomcat taskomatic

如果遇到问题,需要回退到默认行为,请进行以下设置来禁用该功能:

过程:禁用 OVAL 数据支持
  1. rhn.conf 中添加或修改以下设置:

    java.cve_audit.enable_oval_metadata=false
  2. 重启动 Tomcat 和 Taskomatic 服务:

    systemctl restart tomcat taskomatic
过程:更新 CVE 数据
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到管理  任务日程安排,然后选择 oval-data-sync-default 日程安排。

  2. 单击 oval-data-sync-bunch

  3. 单击 单次运行安排 以安排任务。

等待该任务完成,然后继续进行 CVE 审计。

2.1. 收集 CPE

为了能准确识别适用于特定客户端的漏洞,我们需要确定该客户端使用的操作系统产品。为此,我们将收集客户端的 CPE(通用平台枚举)作为 salt grain,并保存至数据库。

新注册客户端的 CPE 会被自动收集并保存至数据库。但对于现有客户端,需至少执行一次更新软件包列表操作。

过程:更新软件包列表
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到系统  系统列表  全部,然后选择一个客户端。

  2. 依次单击软件选项卡和软件包子选项卡。

  3. 单击 更新软件包列表,更新软件包并收集客户端的 CPE。

2.2. OVAL 数据源

为确保 OVAL 数据的完整性和时效性,SUSE Multi-Linux Manager 仅使用各产品官方维护者提供的 OVAL 数据。以下是 OVAL 数据源列表:

Table 1. OVAL 数据源
产品 数据源 URL

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Micro

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

Debian

https://www.debian.org/security/oval

Ubuntu

https://security-metadata.canonical.com/oval

OVAL 元数据仅在部分客户端(即使用 openSUSE Leap、SUSE 企业产品、RHEL、Debian 或 Ubuntu 的客户端)的 CVE 审计中使用。这是由于其他产品缺乏 OVAL 漏洞定义元数据。

3. CVE 状态

客户端的 CVE 状态通常是受影响不受影响已修补。这些状态仅取决于 SUSE Multi-Linux Manager 适用的信息。

在 SUSE Multi-Linux Manager 中,以下定义适用:

受特定漏洞影响的系统

系统中安装的某个软件包版本低于标记为漏洞的相关补丁中相同软件包的版本。

不受特定漏洞影响的系统

同时包含在标记为漏洞的相关补丁中的软件包未安装在系统上。

针对某个漏洞进行了修补的系统

系统中安装的某个软件包版本等同于或高于标记为漏洞的相关补丁中相同软件包的版本。

相关补丁

SUSE Multi-Linux Manager 在相关通道中已知的补丁。

相关通道

由 SUSE Multi-Linux Manager 管理的通道,该通道被指派到系统、是指派到系统的克隆通道的原始通道、是链接到系统上安装的产品的通道,或者是系统的过去或将来的服务包通道。

由于 SUSE Multi-Linux Manager 中使用的定义,CVE 审计结果在某些情况下可能不正确。例如,非受管通道、非受管软件包或不合规的系统可能会错误地报告结果。