Обновление безопасности и CVE

Идентификаторы CVE (Common Vulnerabilities and Exposures) — это стандартный язык для отслеживания уязвимостей программного обеспечения. Важность обновления безопасности и CVE не может быть переоценена, так как это ключевые элементы обеспечения безопасности системы. В процессе работы с системами Linux и Unix, вы должны регулярно проверять наличие уязвимостей и применять соответствующие обновления.

Как это работает

Обновление безопасности и CVE — это многослойная защита, которая включает в себя обновление ядра, пакетов, а также конфигураций сервисов. Для проверки уязвимостей вы можете использовать команды apt list --upgradable, dnf updateinfo list security или специализированные трекеры уязвимостей для вашего дистрибутива. После обнаружения уязвимостей, вы можете применить соответствующие патчи через автоматизированные системы обновления, такие как unattended-upgrades для Debian/Ubuntu или dnf-automatic для Fedora/RHEL.

Для некоторых критически важных библиотек, таких как glibc или ядро, может потребоваться перезагрузка сервисов или системы для применения обновлений. Инструменты needrestart и kernel-livepatch/kpatch могут помочь в этом процессе. В контексте контейнеризации, важно использовать инструменты для сканирования уязвимостей, такие как Trivy или Grype, и пересобирать образы с обновлёнными тегами upstream, вместо того чтобы патчить их на месте.

Когда применять

Обновление безопасности и CVE следует применять регулярно, в соответствии с рекомендациями CIS Benchmark для вашего дистрибутива. Это обеспечит базовую конфигурацию безопасности, которая может быть затем настроена в соответствии с вашими специфическими требованиями. Для интернет-ориентированных сервисов, такие как веб-серверы или базы данных, важно использовать только HTTPS, отключить парольный аутентификация SSH и активировать авто-обновления безопасности, такие как unattended-upgrades для Debian или dnf-automatic для RHEL.

Для многопользовательских систем, такие как серверы с несколькими пользователями, рекомендуется использовать механизмы MAC (Mandatory Access Control), такие как SELinux или AppArmor. Для одноназначных устройств или приложений, стандартные настройки безопасности обычно являются достаточными. Также важно подписаться на соответствующие списки рассылки безопасности вашего дистрибутива, чтобы быть в курсе последних уязвимостей и рекомендаций по обновлению.

Типичные ошибки

В процессе обновления безопасности и CVE часто встречаются типичные ошибки. Одна из самых распространённых — это отключение SELinux или AppArmor, что убирает последний слой защиты Mandatory Access Control. Другая распространённая ошибка — это использование парольной аутентификации SSH, что делает систему уязвимой для атак брут-форс. Также важно регулярно обновлять SSH-ключи для пользователей, которые покидают систему.

Ещё одна распространённая ошибка — это использование одних и тех же паролей между различными сервисами, что может привести к проблемам с later movement. Наконец, откладывание обновлений ядра из-за опасений, что они могут сломать систему, может привести к более серьёзным проблемам, если уязвимость будет эксплуатирована.

Связанные понятия

• Безопасность Linux
• Усиление SSH и ключевая аутентификация
• firewalld & ufw
• SELinux & AppArmor