审计
在 SUSE Multi-Linux Manager 中,您可以通过一系列审计任务来跟踪客户端。您可以检查客户端上是否安装了所有最新的公共安全补丁 (CVE),执行订阅匹配,并使用 OpenSCAP 检查合规性。
在 SUSE Multi-Linux Manager Web UI 中,导航到审计执行审计任务。
1. CVE audits
CVE(常见漏洞和披露)是对公开已知安全漏洞的修复方案。
|
只要有可用的 CVE,就必须在客户端上应用它们。 |
每个 CVE 包含一个标识号、漏洞说明以及更多信息的链接。CVE 标识号使用 CVE-YEAR-XXXX 格式。
在 SUSE Multi-Linux Manager Web UI 中,导航到 以查看所有客户端及其当前补丁状态的列表。
默认情况下,补丁数据在每天 23:00 更新。我们建议您在开始进行 CVE 审计之前刷新数据,以确保应用最新的补丁。
在 SUSE Multi-Linux Manager Web UI 中,导航到,然后选择
cve-server-channels-default日程安排。单击 cve-server-channels-bunch。
单击 单次运行安排 以安排任务。等待该任务完成,然后继续进行 CVE 审计。
在 SUSE Multi-Linux Manager Web UI 中,导航到。
要检查特定 CVE 的补丁状态,请在
CVE 编号字段中键入 CVE 标识符。选择您要查看的补丁状态,或保持选中所有状态以查看所有补丁状态。
单击 审计服务器 检查所有系统,或单击 审计映像 检查所有映像。
有关此页面上使用的补丁状态图标的详细信息,请参见 CVE 审计。
对于每个系统,操作列会提供有关需要采取哪些措施才能解决漏洞的信息。如果适用,其中还会列出候选通道或补丁。您还可以将系统分配到系统集以便后续进行批处理。
可以使用 SUSE Multi-Linux Manager API 来校验客户端的补丁状态。请使用 audit.listSystemsByPatchStatus API 方法。有关此方法的详细信息,请参见《SUSE Multi-Linux Manager API 指南》。
2. OVAL
CVE 审计操作依赖于两个主要数据源:通道和 OVAL(开放漏洞与评估语言)。这两个数据源为 CVE 审计提供元数据,且各自具备独特作用。
- 通道
-
通道包含更新后的软件包(包括补丁),并提供针对漏洞修复所需关键补丁的洞察信息。
- OVAL
-
与之相对,OVAL 数据提供漏洞本身的信息,以及导致系统容易因某个 CVE 而受到攻击的软件包。
尽管仅使用通道数据即可进行 CVE 审计,但同步 OVAL 数据可提升结果的准确性,尤其是在处理零日漏洞或部分修补的漏洞时。
OVAL 数据相比通道数据更轻量。例如,openSUSE Leap 15.4 的 OVAL 数据约有 50 MB。
仅同步 OVAL 数据时,您可执行 CVE 审计并检查系统是否容易因某个 CVE 而受到攻击,但无法应用补丁,因为补丁来自通道。
|
OVAL 功能的核心特性包括:
|
The following procedures can be used to enable, disable, or update OVAL data.
在容器中的
/etc/rhn/rhn.conf文件内添加或修改以下设置:java.cve_audit.enable_oval_metadata=true重启 Tomcat 和 Taskomatic 服务:
systemctl restart tomcat taskomatic
Alternatively, use the procedure for disabling OVAL data support.
在
rhn.conf中添加或修改以下设置:java.cve_audit.enable_oval_metadata=false重启 Tomcat 和 Taskomatic 服务:
systemctl restart tomcat taskomatic
在 SUSE Multi-Linux Manager Web UI 中,导航到,然后选择
oval-data-sync-default日程安排。单击 oval-data-sync-bunch。
单击 单次运行安排 以安排任务。
等待该任务完成,然后继续进行 CVE 审计。
2.1. 收集 CPE
To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a Salt grain, then we save it to the database.
新注册客户端的 CPE 会被自动收集并保存至数据库。但对于现有客户端,需至少执行一次更新软件包列表操作。
在 SUSE Multi-Linux Manager Web UI 中,导航到,然后选择一个客户端。
依次单击
软件选项卡和软件包子选项卡。单击 更新软件包列表,更新软件包并收集客户端的 CPE。
2.2. OVAL 数据源
为确保 OVAL 数据的完整性和时效性,SUSE Multi-Linux Manager 仅使用各产品官方维护者提供的 OVAL 数据。以下是 OVAL 数据源列表:
| Product | Source URL | OVAL supported versions in SUSE Multi-Linux Manager |
|---|---|---|
openSUSE Leap |
openSUSE Leap Micro |
|
SUSE Linux Enterprise Server |
SUSE Linux Enterprise Server 16 |
|
SUSE Linux Enterprise Desktop |
SUSE Linux Enterprise Desktop 15 |
|
SUSE Linux Enterprise Micro |
SUSE Linux Enterprise Micro 5.5 |
|
SUSE Linux Micro |
SUSE Linux Micro 6.2 |
|
SUSE Liberty Linux |
SUSE Liberty Linux 10 |
|
RedHat Enterprise Linux |
||
RedHat Enterprise Linux 9 |
Debian |
|
Debian 13 |
Ubuntu |
|
Ubuntu 24.04 |
AlmaLinux |
|
AlmaLinux 10 |
Oracle Linux |
|
OVAL 元数据仅在部分客户端(即使用 openSUSE Leap、SUSE 企业产品、RHEL、Debian 或 Ubuntu 的客户端)的 CVE 审计中使用。这是由于其他产品缺乏 OVAL 漏洞定义元数据。 |
3. CVE 状态
客户端的 CVE 状态通常是受影响、不受影响或已修补。这些状态仅取决于 SUSE Multi-Linux Manager 适用的信息。
在 SUSE Multi-Linux Manager 中,以下定义适用:
- 受特定漏洞影响的系统
-
系统中安装的某个软件包版本低于标记为漏洞的相关补丁中相同软件包的版本。
- 不受特定漏洞影响的系统
-
同时包含在标记为漏洞的相关补丁中的软件包未安装在系统上。
- 针对某个漏洞进行了修补的系统
-
系统中安装的某个软件包版本等同于或高于标记为漏洞的相关补丁中相同软件包的版本。
- 相关补丁
-
SUSE Multi-Linux Manager 在相关通道中已知的补丁。
- 相关通道
-
由 SUSE Multi-Linux Manager 管理的通道,该通道被指派到系统、是指派到系统的克隆通道的原始通道、是链接到系统上安装的产品的通道,或者是系统的过去或将来的服务包通道。
|
由于 SUSE Multi-Linux Manager 中使用的定义,CVE 审计结果在某些情况下可能不正确。例如,非受管通道、非受管软件包或不合规的系统可能会错误地报告结果。 |