13.10. 监视第三方安全性问题

Contributed by Tom Rhodes.

近年来, 安全领域在如何处理漏洞的评估方面取得了长足的进步。 几乎每一个操作系统都越来越多地安装和配置了第三方工具, 而系统被入侵的威胁也随之增加。

漏洞的评估是安全的一个关键因素, 尽管 FreeBSD 会发布基本系统的安全公告, 然而为每一个第三方工具都发布安全公告则超出了 FreeBSD Project 的能力。 在这一前提下, 一种减轻第三方漏洞的威胁, 并警告管理员存在已知的安全问题的方法也就应运而生。 名为 pkg 的 FreeBSD 附加工具能够帮助您达成这一目的。

pkg port 会下载一个数据库, 这一数据库是由 FreeBSD Security Team 和 ports 开发人员维护的, 其中包含了已知的安全问题。

安装 pkg. 的方式请参考instructions

安装程序提供了periodic(8)配置文件,用于维护pkg审计数据库,并提供了保持更新的程序化方法。将 periodic.conf(5)中的daily_status_security_pkgaudit_enable设置为Y 启用该功能。确保每天的安全运行邮件被发送到root的电子邮件帐户中,并被读取。

安装后,并随时审计第三方实用程序作为 Ports Collection 的一部分,管理员可以选择通过调用更新数据库和查看已安装的软件包的已知漏洞:

# pkg audit -F

使用pkg 命令显示已安装软件包中任何已知漏洞的消息:

Affected package: cups-base-1.1.22.0_1
Type of problem: cups-base -- HPGL buffer overflow vulnerability.
Reference: <https://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

1 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

通过访问上面给出的 URL, 管理员能够了解关于那个漏洞的进一步信息。 这些信息通常包括受到影响的 FreeBSD Port 版本, 以及其他可能包含安全公告的网站。

pkg 可以和 ports-mgmt/portmaster 配合使用。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.