CVE-Manager: различия между версиями
Нет описания правки |
Нет описания правки |
||
Строка 49: | Строка 49: | ||
:<code>-h, --help</code> - Вывод справки; | :<code>-h, --help</code> - Вывод справки; | ||
:<code>-a, --auto</code> - Запуск модулей один за другим в автоматическом режиме; | :<code>-a, --auto</code> - Запуск модулей один за другим в автоматическом режиме; | ||
:<code>- | :<code>-b MODULE_NAME, --beginning_step MODULE_NAME</code> - Запуск работы в автоматическом режиме с указанного шага (название модуля без приставки <code>cve-</code> / <code>cpe-</code>); | ||
:<code>-e MODULE_NAME, --ending_step MODULE_NAME</code> - Запуск работы в автоматическом режиме до указанного шага, включительно (название модуля без приставки <code>cve-</code> / <code>cpe-</code>); | |||
:<code>-t, --timer</code> - Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей; | :<code>-t, --timer</code> - Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей; | ||
:<code>-p, --plain</code> - Упрощенный вывод (следует использовать, например, при | :<code>-p, --plain</code> - Упрощенный вывод (следует использовать, например, при перенаправлении вывода в файл). | ||
При запуске без параметра "<i>-a</i>" <i>cve-manager</i> работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы". | При запуске без параметра "<i>-a</i>" <i>cve-manager</i> работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы". |
Версия от 16:28, 12 сентября 2018
cve-manager - консольная программа, предназначенная для формирования базы данных уязвимостей программ заданных репозиториев rpm-пакетов, а также для предоставления интерфейса к записям сформированной базы данных (например, для дальнейшего их представления на web-ресурсе и осуществления почтовой рассылки).
На данный момент поддерживается два источника списков уязвимостей - NVD (National Vulnerability Database) и ФСТЭК (Федеральная служба по техническому и экспортному контролю).
Имеет модульную структуру, написана на Python и C++, использует MySQL. Распространяется по лицензии GPLv3.0.
Структура программы
cve-manager состоит из следующих модулей:
- cve-manager - диалоговый интерфейс для запуска всех остальных модулей, в том числе для последовательного запуска модулей в автоматическом режиме;
- cve-backup - осуществляет резервное копирование/восстановление ранее сформированной базы данных уязвимостей (БДУ);
- cve-download - осуществляет загрузку по HTTPS списков уязвимостей, предоставляемых NVD и ФСТЭК, а также CPE словаря;
- cve-import - осуществляет для выбранных репозиториев внесение списка пакетов, которые размещены на alt-сервере (например
/ALT/p8/files/list/src.list
и/ALT/p8/files/list/bin.list
для ветви p8), а также внесение загруженных списков уязвимостей и CPE словаря в БД MySQL; Имеет возможность фильтрации импортируемых списков пакетов в соответствии с содержимым предоставляемого текстового файла, каждая строка которого является названием пакета, информация о котором должна быть учтена в БДУ; - cve-fixes - извлекает 'Fixes' записи и URL из метаданных всех исходных пакетов рассматриваемых репозиториев, использует gb-x-parse-vulns-from-changelog;
- cpe-map - осуществляет установление соответствия импортированных в БД названий исходных пакетов рассматриваемых репозиториев и 1) названий программных продуктов из импортированного в БД CPE словаря, а также 2) названий программных продуктов из импортированного в БД списка уязвимостей ФСТЭК;
- cve-issues - осуществляет установление соответствия между данными, внесёнными в БД с помощью модулей cve-import, cpe-map, cve-fixes, а именно - записи в БД вида
<CVE/ФСТЭК идентификатор>, <название пакета>, <CPE/ФСТЭК название уязвимого программного продукта>, <версия пакета>, <уязвимая версия программного продукта>, <fix-status>
, где <fix-status> - значение из следующего набора:- changelog - устранение данной уязвимости обозначено в changelog-секции пакета;
- bigger version - версия пакета в репозитории больше данной уязвимой версии;
- lesser version - версия пакета в репозитории меньше данной уязвимой версии;
- [NO FIX] - версия пакета в репозитори совпадает с уязвимой версией программного продукта и устранение данной уязвимости не зафиксировано.
- cve-monitor - предназначен для посылки запросов выборки из таблиц БДУ и выдачи результатов, например получение списка всех пакетов с имеющимися незакрытыми уязвимостями; На данный момент (версия 0.17.0) результаты представляются в произвольной текстовой форме, в ближайшей перспективе возможность их получения в формате XML/JSON/YAML.
Все модули кроме cve-import написаны на Python, cve-import написан на C++.
Установка
cve-manager собран в репозиторий Sisyphus.
Установка полной версии (серверная и клиентская часть):
apt-get install cve-manager
Установка только клиентской части:
apt-get install cve-monitor
Настройка
Параметры cve-manager определяются файлом ini-формата /etc/cve-manager/cve-manager.conf
. Данный ini-файл состоит из следующих секций:
- database, содержащей параметры соединения с базой данных MySQL;
- branches, содержащей метки о рассмотрении (значение 1) или не рассмотрении (значение 0) соответствующей ветви Sisyphus;
- paths, в которой указывается путь к корневому каталогу alt-сервера, а также путь к каталогу, в который cve-download загружает входные данные и откуда cve-import их импортирует в БД.
Файл настройки принадлежит пользователю root, относится к группе cve и имеет режим rw-rw----. Также группе cve принадлежат все модули, кроме модуля cve-monitor. Таким образом вносить изменения в БДУ могут только члены группы cve. Добавить пользователя в группу cve можно с помощью следующей команды:
usermod -a -G cve <user-name>
При этом cve-monitor имеет свой файл настройки /etc/cve-manager/cve-monitor.conf
, позволяющий пользователям, не являющимся членами группы cve, осуществлять соединение с БДУ с правом только на чтение (SQL-запрос SELECT) - структура данного файла повторяет структуру файла cve-manager.conf
за исключением отсутствия секции paths.
Использование
Запуск cve-manager:
cve-manager [-h] [-a] [-t] [-p] [-d]
-h, --help
- Вывод справки;-a, --auto
- Запуск модулей один за другим в автоматическом режиме;-b MODULE_NAME, --beginning_step MODULE_NAME
- Запуск работы в автоматическом режиме с указанного шага (название модуля без приставкиcve-
/cpe-
);-e MODULE_NAME, --ending_step MODULE_NAME
- Запуск работы в автоматическом режиме до указанного шага, включительно (название модуля без приставкиcve-
/cpe-
);-t, --timer
- Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей;-p, --plain
- Упрощенный вывод (следует использовать, например, при перенаправлении вывода в файл).
При запуске без параметра "-a" cve-manager работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы".
При этом, так как каждый модуль является самостоятельной программой, можно запускать модули напрямую, например:
cve-download --everything
cve-import --prepare
Разворачивание базы данных уязвимостей
Для работы cve-manager нет необходимости устанавливать MySQL сервер и создавать БД уязвимостей в своём окружении - в настройках cve-manager может быть указан адрес удалённого сервера. Тем не менее, это можно сделать, выполнив следующие шаги:
- 1. Установить MySQL сервер:
apt-get install MySQL-server
- 2. Внести изменения в файл настройки MySQL сервера /etc/my.cnf.d/server.cnf:
#skip-networking
bind-address = 127.0.0.1
- 3. Перезапустить MySQL сервер и запустить MySQL консоль:
su -l -c 'service mysqld restart'
mysql -u root
- 4. Задать пароль пользователя MySQL с именем root:
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('root-passwd');
- , где root-passwd - задаваемый пароль пользователя root;
- 5. Добавить пользователя MySQL, от имени которого будет осуществляться формирование БД:
mysql> GRANT ALL PRIVILEGES ON *.* to 'user-name'@'localhost' IDENTIFIED BY 'user-passwd';
- , где user-name - имя пользователя, user-passwd- пароль пользователя;
- 6. Добавить пользователя MySQL, от имени которого будут осуществляться запросы на чтение записей БД (мониторинг):
mysql> GRANT SELECT ON *.* TO 'monitor'@'localhost' IDENTIFIED BY 'monitor';
- 7. При использовании MySQL-server версии >= 5.7 может возникнуть его несовместимость с используемыми C++ и Python MySQL-фреймворками; Для исправления этого следует (например, для совместимости с версией 5.6):
- 7.1. Задать режим обратной совместимости в mysql консоли:
mysql -u root -p
mysql> set @@global.show_compatibility_56=ON;
- 7.2. Добавить в файл /etc/my.cnf.d/server.cnf строку:
show_compatibility_56 = 1
- 7.1. Задать режим обратной совместимости в mysql консоли: