Apticron: Vašem serveru treba dogradnja!

Treba li sistemac svakodnevno provjeravati svoje servere dok je na godišnjem odmoru? Treba li redovito instalirati nove verzije paketa, s ispravljenim greškama i sigurnosnim zakrpama? Pristalice stare škole reći će vam: Ako radi, ne diraj!

Dogradnja preko mreže može biti rizična, što ako novi paket nešto poremeti? S druge strane, u vrijeme kad se inzistira na sigurnosti, softver bi trebalo što prije zakrpati, da se smanji rizik od napada koji su ionako češći i opasniji za vrijeme praznika. Sistemac bi trebao odvagati što mu predstavlja manji rizik, ostaviti nezakrpan server koji radi ili riskirati s instalacijom novih paketa?

Idealno rješenje bilo bi čitati vijesti o otkrivenim ranjivostima pa instalirati nove pakete samo kad ispravljaju kritične pogreške. To  znači da bi sistemac na odmoru trebao svaki dan pratiti novosti i reagirati prema potrebi. No, kakav je to onda odmor? :)

Pronašli smo zgodan paket koji sistemcu može olakšati život. Apticron je skripta koja se pokreće iz crona, u repozitoriju potraži nove verzije instaliranih paketa i izlista njihove razlike. Sistemac će dobiti mail s informacijama o tome što bi trebalo uraditi.

Apticron dolazi u istoimenom paketu:

# apt-get install apticron
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following extra packages will be installed:
  apt-listchanges iso-codes lsb-release python-apt python-apt-common

Ako nemate instaliran paket apt-listchanges i on će biti instaliran. Kao što mu ime govori, to je program koji će pronaći razlike između starog i novog paketa.

lsb_release je naredba koja će vam izlistati informacije o instaliranoj verziji OS-a:

# lsb_release -a
No LSB modules are available.
Distributor ID:    Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:    6.0.5
Codename:    squeeze

Pri tome je LSB akronim za Linux standard base, izraz koji se odnosi na nastojanje da se standardiziraju različite distribucije Linuxa. Ako dobijete pritužbu: "No LSB modules are available", možete je zanemariti, ona samo kaže da nema instaliranih paketa koji su napravljeni prema zajedničkoj LSB specifikaciji.

Apticron je zapravo shell skripta koja se poziva iz /etc/cron.daily. Možete je, naravno, i sami pokrenuti kad god vam padne na pamet.

Konfiguraciju podesite u slijedećim datotekama:

/etc/apticron/apticron.conf
/etc/apt/listchanges.conf
/etc/apt/apt.conf.d/20listchanges

U apticron.conf na primjer možete promijeniti mail adresu primatelja izvještaja. Po defaultu je to root.

Tu birate kakav izvještaj želite: da li želite vidjeti razlike u odnosu na zadnju dogradnju ili samo razlike od zadnjeg pokretanja apticrona, kako bi mail bio što kraći.

# DIFF_ONLY="1"

Ako otkomentirate ovaj redak, dobit ćete kraći mail, s razlikama od prošlog maila. To je zgodno ako vas prethoni mailovi nisu nagnali da napravite upgrade, pa ne želite ponovo čitati popis paketa niste dogradili.

# NOTIFY_HOLDS="0"

Ovo otkomentirajte ako ne želite obavijesti o novim verzijama paketa koje ste iz nekog razloga "zadržali" na instaliranoj verziji. To se radi, na primjer, kad koristite aplikaciju koja traži točno određenu verziju paketa o kojima ovisi.

# CUSTOM_SUBJECT=""

Ovdje može zadati drugačiji naslov maila. Ako na primjer i vaš nadređeni želi biti upoznat s vašim radom, staviti neki naslov koji će mu bit razumljiviji.

Ako nema novih paketa, skripta vas neće gnjaviti, ako ima, dobit ćete mail koji će izgledati otprilike ovako:

apticron report [Wen, 19 Jul 2012 8:42:01 -0800]
========================================================================
apticron has detected that some packages need upgrading on: 
 server.domena.hr
 [ 161.53.x.x ]
The following packages are currently pending an upgrade:
The following packages are currently pending an upgrade:
isc-dhcp-client 4.1.1-P1-15+squeeze4
isc-dhcp-common 4.1.1-P1-15+
========================================================================
Package Details:
Reading changelogs...
--- Changes for isc-dhcp (isc-dhcp-client isc-dhcp-common) ---
isc-dhcp (4.1.1-P1-15+squeeze4) squeeze-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Backport upstream changes for the following security issues:
    - CVE-2012-3954: memory leaks in dhcpv6 mode
    - CVE-2012-3571: DoS via malformed client ids

Iz opisa se vidi da se radi o ispravcima sigurnosnih propusta i da se preporučuje hitna instalacija novih paketa.

Ako vam se čini da vam apticron može pojednostavniti život i omogućiti vam da se bolje odmorite dok ste na godišnjem, isprobajte ga!

sri, 2012-07-25 12:34 - Aco Dmitrović
Kuharice: 
Linux
Kategorije: 
Sigurnost
Vote: 
0
No votes yet

Komentari

http://sistemac.carnet.hr/node/67

Željko Boroš - sri, 2012-08-01 15:50