Documentation survey

감사

SUSE Manager에서는 일련의 감사 작업을 통해 고객을 추적할 수 있습니다. 클라이언트에 모든 CVE(공개 보안 패치)가 적용되어 최신 상태인지 확인하고, 구독 일치를 수행하며, OpenSCAP를 사용하여 사양 준수 여부를 확인할 수 있습니다.

SUSE Manager Web UI에서 감사로 이동하여 감사 작업을 수행합니다.

1. CVE 감사

A CVE (Common Vulnerabilities and Exposures) is a fix for a publicly known security vulnerability.

사용할 수 있게 된 즉시 CVE를 클라이언트에 적용해야 합니다.

각 CVE에는 식별 번호, 취약성에 대한 설명 및 추가 정보에 대한 링크가 포함되어 있습니다. CVE 식별 번호의 형식은 CVE-YEAR-XXXX입니다.

SUSE Manager Web UI에서 감사  CVE 감사로 이동하여 모든 클라이언트 목록과 현재 패치 상태를 확인합니다.

By default, the patch data is updated at 23:00 every day. We recommend that before you begin a CVE audit you refresh the data to ensure you have the latest patches.

Procedure: Updating Patch Data

  1. SUSE Manager Web UI에서 관리자  작업 스케줄으로 이동하여 cve-server-channels-default 일정을 선택합니다.

  2. cve-server-channels-bunch를 클릭합니다.

  3. Click Single Run Schedule to schedule the task. Allow the task to complete before continuing with the CVE audit.

절차: 패치 상태 확인

  1. SUSE Manager Web UI에서 감사  CVE 감사로 이동합니다.

  2. 특정 CVE의 패치 상태를 확인하려면 CVE 번호 필드에 CVE 식별자를 입력합니다.

  3. 찾을 패치 상태를 선택하거나 모든 상태를 확인하려면 모든 상태를 선택된 상태로 유지합니다.

  4. 서버 감사를 클릭하여 모든 시스템을 확인하거나 이미지 감사를 클릭하여 모든 이미지를 확인합니다.

이 페이지에서 사용되는 패치 상태 아이콘에 대한 자세한 내용은 CVE 감사에서 확인할 수 있습니다.

For each system, the Actions column provides information about what you need to do to address vulnerabilities. If applicable, a list of candidate channels or patches is also given. You can also assign systems to a System Set for further batch processing.

SUSE Manager API를 사용하여 클라이언트의 패치 상태를 확인할 수 있습니다. audit.listSystemsByPatchStatus API 메소드를 사용하면 됩니다. 이 방법에 대한 자세한 내용은 SUSE Manager API 가이드에서 확인할 수 있습니다.

2. OVAL

채널 데이터에서 CVE 정보를 검색하는 기능 외에도 SUSE Manager에는 이제 OVAL 파일에서 CVE 세부 사항을 가져오는 실험적 기능이 포함되어 있습니다. 이 기능은 현재 *기술 미리보기*로 간주됩니다.

사용자가 이 기능을 실험하고 피드백을 공유하는 것은 권장됩니다. 그러나 테스트 환경에서 철저하게 테스트하지 않고 프로덕션 환경에서 사용하는 것은 아직 권장되지 않습니다.

CVE 감사 작업에서는 두 가지 주요 데이터 소스인 채널과 OVAL(개방형 취약성 및 평가 언어)을 활용합니다. 이 두 소스는 각각 다른 용도로 CVE 감사를 수행하기 위한 메타데이터를 제공합니다.

채널

채널에는 패치 등 업데이트된 소프트웨어 패키지가 포함되어 있으며, 취약점을 해결하는 데 필요한 필수 패치에 대한 정보를 제공합니다.

OVAL(기술 미리보기)

반면에 OVAL 데이터는 취약점 자체에 대한 정보와 시스템이 CVE에 취약하도록 유발하는 패키지를 제공합니다.

채널 데이터만 사용하여 CVE 감사를 수행하는 것도 가능하지만, OVAL 데이터를 동기화하면 특히 제로데이 취약점이나 부분 패치 취약점과 관련된 경우 결과의 정확성을 향상할 수 있습니다.

OVAL 데이터는 채널 데이터보다 훨씬 가볍습니다. 예를 들어, openSUSE Leap 15.4의 OVAL 데이터는 약 50MB입니다.

OVAL 데이터만 동기화한 경우 이미 CVE 감사를 수행하여 시스템이 CVE에 취약한지 여부를 확인할 수 있지만, 패치는 채널에서 제공되는 것이므로 적용할 수 없습니다.

OVAL 기능의 주요 특징은 다음과 같습니다.

  • 기본적으로 비활성화됨: 이 기능은 기본적으로 꺼져 있으며, 사용자가 rhn.conf 구성 파일을 업데이트하고 관련 서비스를 다시 시작하여 명시적으로 활성화해야 합니다.

  • 되돌릴 수 있음: 문제가 발생하면 사용자는 표준 채널 기반 CVE 감사로 되돌릴 수 있습니다.

  • 성능 고려 사항: 초기 테스트가 수행되었지만, 성능과 관련하여 여전히 우려되는 부분이 있으며, 추가로 최적화가 필요할 수 있습니다.

  • OVAL data is updated at 23:00 every day by default. We recommend that before you begin a CVE audit you refresh the data to ensure you have the latest vulnerabilities metadata.
Procedure: Enabling OVAL Data Support

  1. Add or modify the following setting in rhn.conf:

    java.cve_audit.enable_oval_metadata=true

  2. Restart the Tomcat and Taskomatic services:

    systemctl restart tomcat taskomatic

문제가 발생하여 기본 동작으로 되돌려야 하는 경우 다음을 설정하여 기능을 비활성화하십시오.

Procedure: Disabling OVAL Data Support

  1. Add or modify the following setting in rhn.conf:

    java.cve_audit.enable_oval_metadata=false

  2. Restart the Tomcat and Taskomatic services:

    systemctl restart tomcat taskomatic
절차: OVAL 데이터 업데이트

  1. In the SUSE Manager Web UI, navigate to Admin  Task Schedules and select the oval-data-sync-default schedule.

  2. Click oval-data-sync-bunch.

  3. 단일 실행 일정을 클릭하여 작업을 예약합니다.

작업을 완료한 후 CVE 감사를 계속 진행합니다.

2.1. CPE 수집

특정 클라이언트에 어떤 취약점이 있는지 정확하게 파악하려면 해당 클라이언트가 사용하는 운영 체제 제품을 식별해야 합니다. 이를 위해 클라이언트의 CPE(Common Platform Enumeration)를 salt 그레인으로 수집한 다음 데이터베이스에 저장합니다.

새로 등록된 클라이언트의 CPE는 자동으로 수집되어 데이터베이스에 저장됩니다. 하지만 기존 클라이언트의 경우 패키지 목록 업데이트 작업을 한 번 이상 실행해야 합니다.

Procedure: Update Packages List

  1. In the SUSE Manager Web UI, navigate to Systems  System List  All and select a client.

  2. Then go to the Software tab and select the Packages sub-tab.

  3. 패키지 목록 업데이트를 클릭하여 패키지를 업데이트하고 클라이언트의 CPE를 수집합니다.

2.2. OVAL 소스

OVAL 데이터의 무결성과 최신성을 보장하기 위해 SUSE Manager은(는) 모든 제품의 공식 관리자로부터 OVAL 데이터를 독점적으로 사용합니다. OVAL 데이터 소스의 목록은 아래에서 확인할 수 있습니다.

Table 1. OVAL 소스
제품 소스 URL

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Micro

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

Debian

https://www.debian.org/security/oval

Ubuntu

https://security-metadata.canonical.com/oval

OVAL 메타데이터는 일부 클라이언트, 즉 openSUSE Leap, SUSE 엔터프라이즈 제품, RHEL, Debian 또는 Ubuntu를 사용하는 클라이언트의 하위 세트에 대해서만 CVE 감사에서 사용됩니다. 그 이유는 다른 제품에 대한 OVAL 취약성 정의 메타데이터가 없기 때문입니다.

3. CVE 상태

클라이언트의 CVE 상태는 일반적으로 영향을 받음, 영향을 받지 않음 또는 패치됨입니다. 이러한 상태는 SUSE Manager에서 사용할 수 있는 정보만으로 결정됩니다.

SUSE Manager 내에서 이러한 정의가 적용되는 대상은 다음과 같습니다.

특정 취약점의 영향을 받는 시스템

취약점으로 표시된 관련 패치의 패키지 버전보다 낮은 버전의 패키지가 설치된 시스템입니다.

특정 취약점의 영향을 받지 않는 시스템

취약점으로 표시된 관련 패치에도 있는 설치된 패키지가 설치되지 않은 시스템입니다.

특정 취약점에 대해 패치된 시스템

취약점으로 표시된 관련 패치와 동일한 패키지 버전 이상의 패키지가 설치된 시스템입니다.

관련 패치

관련 채널에서 SUSE Manager가 알려진 패치입니다.

관련 채널

SUSE Manager에서 관리하는 채널로, 시스템에 할당된 채널, 시스템에 할당된 복제된 채널의 원본, 시스템에 설치된 제품에 연결된 채널 또는 시스템에 대한 과거 또는 미래의 서비스 팩 채널입니다.

SUSE Manager 내에서 사용된 정의로 인해 일부 상황에서는 CVE 감사 결과가 정확하지 않을 수 있습니다. 예를 들어, 관리되지 않는 채널, 관리되지 않는 패키지 또는 미준수 시스템은 잘못 보고할 수 있습니다.