Veiligheid

Controleer de beveiliging van uw Debian-server met Debsecan

0 1.143 3 minuten om te lezen

Wanneer we een op Debian gebaseerde Linux-server installeren, wordt het altijd sterk aanbevolen om een ​​volledige verharding uit te voeren om het besturingssysteem en alle services zoveel mogelijk te beschermen. Na verloop van tijd zijn er altijd nieuwe kwetsbaarheden in de verschillende software die we hebben geïnstalleerd, en zelfs in de Linux-kernel zelf. Dankzij een tool als Debsecan kunnen we ons besturingssysteem volledig scannen en de pakketten detecteren die we hebben geïnstalleerd en de beveiligingslekken die zijn gevonden. Vandaag laten we u in RedesZone zien hoe u het kunt gebruiken.

Installeer Debsecan op Debian

Deze tool is niet standaard geïnstalleerd in het besturingssysteem, dus we moeten deze handmatig installeren via de officiële repositories van de distributie. Om het te installeren, moeten we de volgende opdracht uitvoeren:

sudo apt install debsecan

In de volgende schermafbeelding ziet u alle extra pakketten die u moet installeren om dit goed te laten werken:

Zodra we het hebben geïnstalleerd, kunnen we het uitvoeren met de hulp, zodat het ons vertelt welke argumenten we kunnen gebruiken en welke opties we hebben:

debsecan --help

We kunnen ook de man-pagina's uitvoeren om de meest complete hulp van deze tool te krijgen, om de volledige handleiding te openen, voert u gewoon het volgende uit:

man debsecan

Hoe werkt deze tool?

De werking van debsecan is heel eenvoudig, we hoeven alleen het programma uit te voeren met het argument van de Debian-versie die we gebruiken:

debsecan --suite buster

Zodra we deze opdracht hebben uitgevoerd, krijgen we een lijst met alle kwetsbaarheden die het heeft gehad of heeft in deze versie, samen met een beschrijving of er weinig urgentie is om het te repareren, als het al is opgelost, zelfs als het weinig heeft urgentie, of als het probleem eenvoudig is opgelost. Het zal ons ook laten zien of het beveiligingslek niet is verholpen, maar het heeft het in de kwetsbaarhedendatabase.

We hebben de mogelijkheid om debsecan te configureren om altijd de versie van "Debian Buster" (degene die we gebruiken) te gebruiken, zonder deze in een argument te hoeven definiëren. Om dit te doen, moeten we de volgende opdracht uitvoeren:

sudo dpkg-reconfigure debsecan

En het volgende scherm verschijnt, waar we de versie van onze distributie moeten kiezen:

Als we profiteren van het gebruik van deze configuratiewizard, kunnen we debsecan ook configureren om ons automatisch en eenmaal per dag alle wijzigingen in de kwetsbaarheden per e-mail te sturen:

Vervolgens stellen we ons e-mailadres in en het besturingssysteem zelf zorgt ervoor dat we dagelijks een e-mail sturen over de beveiligingsstatus van het systeem. Het zal ons ook vragen of Debsecan de kwetsbaarheidsinformatie van internet downloadt, als de server niet is verbonden met internet, of als we niet willen dat het verzoeken op internet doet, kunnen we een URL definiëren met de kwetsbaarheidsinformatie om het aan zijn database toe te voegen. Eenmaal geconfigureerd, kunt u debsecan uitvoeren zonder dat u "–suite" hoeft in te voeren.

Een zeer interessant commando is het volgende:

debsecan --suite buster --only-fixed

Deze optie geeft een overzicht van de kwetsbaarheden waarvoor een oplossing beschikbaar is, en we moeten het besturingssysteem bijwerken om ze te elimineren. Merk op dat er een oplossing kan verschijnen, zelfs als het pakket nog niet beschikbaar is in de Debian-repository voor update of installatie. Als het leeg lijkt, betekent dit dat we alle updates en fixes beschikbaar hebben:

Als we de volgende opdracht uitvoeren:

debsecan --format detail

Het zal ons alle al dan niet opgeloste kwetsbaarheden tonen, maar in meer detail, bovendien zal het ons laten zien welke versie van de software het beveiligingsprobleem heeft en welke versie dit oplost, zowel op het niveau van de onstabiele patch als van de belangrijkste opslagplaats. Het is mogelijk dat de patch weken of maanden in de "instabiele" repository blijft staan, dus hier moet rekening mee worden gehouden.

In de man-pagina's kunnen we in meer detail zien hoe de witte lijst werkt. Stel dat we een bepaald pakket met CVE-code op de witte lijst willen zetten, zodat het nooit in de rapportlijst verschijnt, om dat te doen, moeten we het volgende uitvoeren:

debsecan --add-whitelist CVE-XXXX-XXXX

We zullen de CVE-code moeten plaatsen om aan de witte lijst toe te voegen. Als we iets van de witte lijst halen, kunnen we dat ook gemakkelijk doen, zodat het weer in de dagelijkse kwetsbaarheidsrapporten wordt opgenomen.

Zoals u kunt zien, is de debsecan-tool erg handig om ons op de hoogte te houden van eventuele beveiligingsproblemen die zijn gevonden die van invloed zijn op ons Debian-besturingssysteem, hetzij het besturingssysteem zelf, hetzij de pakketten die we hebben geïnstalleerd. Dankzij debsecan kunnen we dagelijks e-mails ontvangen met nieuws over het oplossen van kwetsbaarheden door het ontwikkelingsteam van de verschillende software.

Ten slotte mogen we als fundamentele beveiligingsmaatregel op elke server nooit programma's of pakketten installeren die we niet gebruiken, om het gebied van blootstelling aan een ernstige kwetsbaarheid te minimaliseren. Natuurlijk is het hardenen van de server essentieel.

0 1.143 3 minuten om te lezen

Vergelijkbare items

Foto van de beste VPN voor WordPress-gebruikers (beoordeeld voor 2020)

Beste VPN voor WordPress-gebruikers (beoordeeld voor 2020)

December 29, 2020
Foto van Wat is inbegrepen in een TSA-achtergrondcontrole?

Wat is inbegrepen in een TSA-achtergrondcontrole?

December 29, 2020
Foto van Wat is drive-by malware en hoe u uzelf kunt beschermen?

Wat is drive-by malware en hoe u uzelf kunt beschermen?

Juni 22, 2021
Foto van wachtwoorden versus wachtwoordzinnen: dingen om in gedachten te houden

Wachtwoorden versus wachtwoordzinnen: waar u rekening mee moet houden

Juni 22, 2021

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Terug naar boven knop