Bir kurduğumuzda Linux Debian tabanlı sunucu, işletim sistemini ve tüm hizmetleri olabildiğince korumak için her zaman tam bir güçlendirme yapılması şiddetle tavsiye edilir. Zaman geçtikçe, kurduğumuz farklı yazılımlarda ve hatta Linux çekirdeğinin kendisinde her zaman yeni güvenlik açıkları vardır. Debsecan gibi bir araç sayesinde işletim sistemimizi tamamen tarayabilir, kurduğumuz paketleri ve bulunan güvenlik açıklarını tespit edebiliriz. Bugün bu yazıda size nasıl kullanılacağını göstereceğiz.
Debsecan'ı Debian'a Kurmak
Bu araç, işletim sistemine varsayılan olarak yüklenmez, bu nedenle, dağıtımın resmi depoları aracılığıyla manuel olarak yüklemeliyiz. Kurmak için aşağıdaki komutu uygulamalıyız:
Aşağıdaki ekran görüntüsünde, düzgün çalışması için yüklemeniz gereken tüm ek paketleri görebilirsiniz:
Kurduktan sonra, yardımla çalıştırabiliriz, böylece bize hangi argümanları kullanabileceğimizi ve hangi seçeneklere sahip olduğumuzu söyler:
debsecan --help
Bu aracın en eksiksiz yardımı için kılavuz sayfalarını da çalıştırabiliriz, kılavuzun tamamını açmak için aşağıdakileri çalıştırın:
man debsecan
Bu araç nasıl çalışır?
Debsecan'ın çalışma şekli gerçekten çok kolay, sadece programı kullandığımız Debian sürümünün argümanıyla çalıştırmamız gerekiyor:
debsecan --suite buster
Bu komutu çalıştırdığımızda, bu sürümde sahip olduğu veya sahip olduğu tüm güvenlik açıklarının bir listesini ve ayrıca çözülmesi için çok az aciliyet olup olmadığını, zaten çözülmüşse, çok az olsa bile bir açıklamasını alacağız. aciliyet veya sorun basitçe çözülmüşse. Ayrıca bize güvenlik açığının giderilip giderilmediğini, ancak güvenlik açıkları veritabanında olduğunu da gösterecektir.
Debsecan'ı, bir argümanda tanımlamak zorunda kalmadan her zaman "Debian Buster" (bizim kullandığımız) sürümünü kullanacak şekilde yapılandırma olanağımız var. Bunu yapmak için aşağıdaki komutu uygulamalıyız:
sudo dpkg-reconfigure debsecan
Ve dağıtımımızın sürümünü seçmemiz gereken aşağıdaki ekran görünecektir:
Bu yapılandırma sihirbazını kullanmaktan yararlanırsak, debsecan'ı bize otomatik olarak ve günde bir kez güvenlik açıklarında meydana gelen herhangi bir değişikliği gönderecek şekilde yapılandırabiliriz. E-posta:
Daha sonra, e-posta adresimizi tanımlayacağız ve işletim sisteminin kendisi, bize sistemin güvenliğinin durumu hakkında günlük bir e-posta göndermekle sorumlu olacak. Ayrıca Debsecan'ın güvenlik açığı bilgisini internetten indirmesini isteyecektir, eğer sunucu internete bağlı değilse veya internete istekte bulunmasını istemiyorsak, eklemek için güvenlik açığı bilgisini içeren bir URL tanımlayabiliriz. veritabanına. Yapılandırıldıktan sonra debsecan'ı «–suite» koymak zorunda kalmadan çalıştırabiliriz.
Çok ilginç bir sıra şudur:
debsecan --suite buster --only-fixed
Bu seçenek, bir çözümün mevcut olduğu güvenlik açıklarını listeler ve bunlardan kurtulmak için işletim sistemini güncellememiz gerekir. Paket güncelleme veya kurulum için Debian deposunda henüz mevcut olmasa bile bir çözümün görünebileceğini unutmayın. Boş görünüyorsa, tüm güncellemelere ve yamalara sahip olduğumuz anlamına gelir:
Aşağıdaki komutu yürütürsek:
debsecan --format detail
Bize tüm güvenlik açıklarının düzeltilip düzeltilmediğini ancak daha ayrıntılı olarak gösterilecek, ayrıca yazılımın hangi sürümünde güvenlik sorunu olduğunu ve hangi sürümün onu hem kararsız yama hem de ana depo düzeyinde çözdüğünü gösterecektir. . Yamanın depoda haftalarca veya aylarca "dengesiz" olması olasıdır, bu yüzden onu hesaba katmalıyız.
Man sayfalarında, beyaz listenin nasıl çalıştığını daha ayrıntılı olarak görebiliriz. CVE kodlu belirli bir paketi rapor listesinde hiç görünmeyecek şekilde beyaz listeye koymak istediğimizi düşünelim, bunu yapmak için basitçe aşağıdakileri yürütmemiz gerekecek:
debsecan --add-whitelist CVE-XXXX-XXXX
Beyaz listeye eklenmek için CVE kodunu koymamız gerekecek. Beyaz listeden bir şeyi çıkarırsak, günlük güvenlik açığı raporlarına dahil edilmesi için bunu da kolayca yapabiliriz.
Gördüğünüz gibi debsecan aracı, bulunan ve Debian işletim sistemimizi etkileyen tüm güvenlik kusurları hakkında bizi bilgilendirmek için çok kullanışlıdır, işletim sisteminin kendisi veya yüklediğimiz paketler. Debsecan sayesinde, farklı yazılımların geliştirme ekibinin güvenlik açıklarının çözümüne ilişkin haberleri içeren günlük e-postalar alabileceğiz.
Son olarak, herhangi bir sunucuda temel bir güvenlik önlemi olarak, ciddi bir güvenlik açığına maruz kalma yüzeyini en aza indirmek için kullanmadığımız programları veya paketleri asla yüklememeliyiz. Tabii ki, sunucuyu güçlendirmek çok önemlidir.