CVE-Manager: различия между версиями
Нет описания правки |
|||
| Строка 5: | Строка 5: | ||
cve-manager состоит из следующих модулей:<br> | cve-manager состоит из следующих модулей:<br> | ||
- <b>cve-manager</b> - диалоговый интерфейс для запуска всех остальных модулей, написан на Python;<br> | - <b>cve-manager</b> - диалоговый интерфейс для запуска всех остальных модулей, написан на Python;<br> | ||
- <b>cve-download</b> - осуществляет загрузку по https | - <b>cve-backup</b> - осуществляет резервное копирование базы данных сформированной cve-manager, написан на Python;<br> | ||
- <b>cve-import</b> - осуществляет внесение списка пакетов | - <b>cve-download</b> - осуществляет загрузку по https списков уязвимостей, предоставляемых NVD (National Vulnerability Database) и ФСТЭК (Федеральная служба по техническому и экспортному контролю), а также CPE словаря, написан на Python;<br> | ||
- <b>cpe-map</b> - осуществляет установление соответствия названий исходных пакетов рассматриваемых репозиториев | - <b>cve-import</b> - осуществляет для выбранных репозиториев внесение списка пакетов, которые размещены на alt-сервере (например "/ALT/Sisyphus/files/list/src.listа"), а также внесение загруженных списков уязвимостей и CPE словаря в базу данных (БД) MySQL, написан на C++;<br> | ||
- <b>cpe-map</b> - осуществляет установление соответствия импортированных в БД названий исходных пакетов рассматриваемых репозиториев и product из импортированного в БД CPE словаря, написан на Python;<br> | |||
- <b>cve-fixes</b> - извлекает 'Fixes' записи и URL из метаданных всех исходных пакетов рассматриваемых репозиториев, написан на Python, использует <i>gb-x-parse-vulns-from-changelog</i>;<br> | - <b>cve-fixes</b> - извлекает 'Fixes' записи и URL из метаданных всех исходных пакетов рассматриваемых репозиториев, написан на Python, использует <i>gb-x-parse-vulns-from-changelog</i>;<br> | ||
- <b>cve-issue</b> - осуществляет установление соответствия между данными, внесёнными в БД с помощью модулей <i>cve-import</i>, <i>cpe-map</i>, <i>cve-fixes</i>, а именно - записи в БД вида | - <b>cve-issue</b> - осуществляет установление соответствия между данными, внесёнными в БД с помощью модулей <i>cve-import</i>, <i>cpe-map</i>, <i>cve-fixes</i>, а именно - записи в БД вида "<CVE или ФСТЭК идентификатор>, <название пакета>, <наличие 'Fixes' записи>", написана на Python;<br> | ||
- <b>cve-monitor</b> - предназначен для посылки запросов в БД, например получение списка всех пакетов с имеющимися незакрытыми уязвимостями.<br> | - <b>cve-monitor</b> - предназначен для посылки запросов в БД, например получение списка всех пакетов с имеющимися незакрытыми уязвимостями.<br> | ||
| Строка 18: | Строка 19: | ||
2) <i>branches</i>, содержащей метки о рассмотрении (значение 1) или не рассмотрении (значение 0) соответствующей ветви Sisyphus;<br> | 2) <i>branches</i>, содержащей метки о рассмотрении (значение 1) или не рассмотрении (значение 0) соответствующей ветви Sisyphus;<br> | ||
3) <i>paths</i>, в которой указывается путь к корневому каталогу alt-сервера, а также путь к каталогу, в который <i>cve-download</i> загружает входные данные и откуда <i>cve-import</i> их импортирует в БД.<br> | 3) <i>paths</i>, в которой указывается путь к корневому каталогу alt-сервера, а также путь к каталогу, в который <i>cve-download</i> загружает входные данные и откуда <i>cve-import</i> их импортирует в БД.<br> | ||
Файл настройки принадлежит пользователю <i>root</i>, относится к группе <i>cve</i> | Файл настройки принадлежит пользователю <i>root</i>, относится к группе <i>cve</i> и имеет режим <i>rw-r-----</i>. Таким образом, изменять файл настроек может только пользователь <i>root</i>, а для его чтения следует добавить нужного пользователя в группу <i>cve</i> (без возможности чтения файла настроек <i>cve-manager</i> работать не будет). | ||
== Использование == | == Использование == | ||
| Строка 27: | Строка 28: | ||
<i>-h, --help</i> - Вывод справки;<br> | <i>-h, --help</i> - Вывод справки;<br> | ||
<i>-a, --auto</i> - Запуск модулей один за другим в автоматическом режиме;<br> | <i>-a, --auto</i> - Запуск модулей один за другим в автоматическом режиме;<br> | ||
<i>-s MODULE_NAME, --starting_step MODULE_NAME</i> - Запуск работы в автоматическом режиме с указанного шага (название модуля без приставки "cve-")<br> | |||
<i>-t, --timer</i> - Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей;<br> | <i>-t, --timer</i> - Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей;<br> | ||
<i>-p, --plain</i> - Упрощенный вывод (следует использовать, например, при записи в файл).<br> | <i>-p, --plain</i> - Упрощенный вывод (следует использовать, например, при записи в файл).<br> | ||
При запуске без параметра <i>-a</i> cve-manager работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы". | При запуске без параметра "<i>-a</i>" cve-manager работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы". | ||
== | == Разворачивание базы данных уязвимостей == | ||
Для | Для работы cve-manager нет необходимости устанавливать MySQL сервер и создавать БД уязвимостей в своём окружении - в настройках cve-manager может быть указан адрес удалённого сервера. Тем не менее, это можно сделать сделать, выполнив следующие шаги:<br> | ||
1) Установить MySQL сервер:<br> | 1) Установить MySQL сервер:<br> | ||
<code>apt-get install MySQL-server</code> | <code>apt-get install MySQL-server</code> | ||
| Строка 47: | Строка 49: | ||
4) Задать пароль пользователя MySQL с именем <i>root</i>:<br> | 4) Задать пароль пользователя MySQL с именем <i>root</i>:<br> | ||
<code>SET PASSWORD FOR 'root'@'localhost' = PASSWORD('root-passwd');</code><br> | <code><b><i>mysql></i></b> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('root-passwd');</code><br> | ||
, где <i>root-passwd</i> - задаваемый пароль пользователя <i>root</i><br> | , где <i>root-passwd</i> - задаваемый пароль пользователя <i>root</i><br> | ||
5) Добавить пользователя MySQL, от имени которого будет осуществляться работа с БД:<br> | 5) Добавить пользователя MySQL, от имени которого будет осуществляться работа с БД:<br> | ||
<code>grant all privileges on *.* to 'user-name'@'localhost' identified by 'user-passwd';</code><br> | <code><b><i>mysql></i></b> grant all privileges on *.* to 'user-name'@'localhost' identified by 'user-passwd';</code><br> | ||
, где <i>user-name</i> - имя пользователя, <i>user-passwd</i>- пароль пользователя. | , где <i>user-name</i> - имя пользователя, <i>user-passwd</i>- пароль пользователя. | ||
| Строка 58: | Строка 60: | ||
6.1) Задать режим обратной совместимости в mysql консоли:<br> | 6.1) Задать режим обратной совместимости в mysql консоли:<br> | ||
<code>mysql -u root -p</code><br> | <code>mysql -u root -p</code><br> | ||
<code>set @@global.show_compatibility_56=ON;</code><br> | <code><b><i>mysql></i></b> set @@global.show_compatibility_56=ON;</code><br> | ||
6.2) Добавить в файл <i>/etc/my.cnf.d/server.cnf</i> строку:<br> | 6.2) Добавить в файл <i>/etc/my.cnf.d/server.cnf</i> строку:<br> | ||
<code>show_compatibility_56 = 1</code> | <code>show_compatibility_56 = 1</code> | ||
Версия от 19:04, 1 июня 2018
cve-manager - консольная программа для отслеживания уязвимостей программного обеспечения, имеет модульную структуру, написана на Python и C++. Распространяется по лицензии GPLv3.0.
Структура программы
cve-manager состоит из следующих модулей:
- cve-manager - диалоговый интерфейс для запуска всех остальных модулей, написан на Python;
- cve-backup - осуществляет резервное копирование базы данных сформированной cve-manager, написан на Python;
- cve-download - осуществляет загрузку по https списков уязвимостей, предоставляемых NVD (National Vulnerability Database) и ФСТЭК (Федеральная служба по техническому и экспортному контролю), а также CPE словаря, написан на Python;
- cve-import - осуществляет для выбранных репозиториев внесение списка пакетов, которые размещены на alt-сервере (например "/ALT/Sisyphus/files/list/src.listа"), а также внесение загруженных списков уязвимостей и CPE словаря в базу данных (БД) MySQL, написан на C++;
- cpe-map - осуществляет установление соответствия импортированных в БД названий исходных пакетов рассматриваемых репозиториев и product из импортированного в БД CPE словаря, написан на Python;
- cve-fixes - извлекает 'Fixes' записи и URL из метаданных всех исходных пакетов рассматриваемых репозиториев, написан на Python, использует gb-x-parse-vulns-from-changelog;
- cve-issue - осуществляет установление соответствия между данными, внесёнными в БД с помощью модулей cve-import, cpe-map, cve-fixes, а именно - записи в БД вида "<CVE или ФСТЭК идентификатор>, <название пакета>, <наличие 'Fixes' записи>", написана на Python;
- cve-monitor - предназначен для посылки запросов в БД, например получение списка всех пакетов с имеющимися незакрытыми уязвимостями.
Настройка
Параметры cve-manager определяются файлом ini-формата /etc/cve-manager/cve-manager.conf. Данный ini-файл состоит из следующих секций:
1) database, содержащей параметры соединения с базой данных MySQL;
2) branches, содержащей метки о рассмотрении (значение 1) или не рассмотрении (значение 0) соответствующей ветви Sisyphus;
3) paths, в которой указывается путь к корневому каталогу alt-сервера, а также путь к каталогу, в который cve-download загружает входные данные и откуда cve-import их импортирует в БД.
Файл настройки принадлежит пользователю root, относится к группе cve и имеет режим rw-r-----. Таким образом, изменять файл настроек может только пользователь root, а для его чтения следует добавить нужного пользователя в группу cve (без возможности чтения файла настроек cve-manager работать не будет).
Использование
Запуск cve-manager:
cve-manager [-h] [-a] [-t] [-p] [-d]
-h, --help - Вывод справки;
-a, --auto - Запуск модулей один за другим в автоматическом режиме;
-s MODULE_NAME, --starting_step MODULE_NAME - Запуск работы в автоматическом режиме с указанного шага (название модуля без приставки "cve-")
-t, --timer - Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей;
-p, --plain - Упрощенный вывод (следует использовать, например, при записи в файл).
При запуске без параметра "-a" cve-manager работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы".
Разворачивание базы данных уязвимостей
Для работы cve-manager нет необходимости устанавливать MySQL сервер и создавать БД уязвимостей в своём окружении - в настройках cve-manager может быть указан адрес удалённого сервера. Тем не менее, это можно сделать сделать, выполнив следующие шаги:
1) Установить MySQL сервер:
apt-get install MySQL-server
2) Внести изменения в файл настройки MySQL сервера /etc/my.cnf.d/server.cnf:
#skip-networking
bind-address = 127.0.0.1
3) Перезапустить MySQL сервер и запустить MySQL консоль:
su -l -c 'service mysqld restart'
mysql -u root
4) Задать пароль пользователя MySQL с именем root:
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('root-passwd');
, где root-passwd - задаваемый пароль пользователя root
5) Добавить пользователя MySQL, от имени которого будет осуществляться работа с БД:
mysql> grant all privileges on *.* to 'user-name'@'localhost' identified by 'user-passwd';
, где user-name - имя пользователя, user-passwd- пароль пользователя.
6) При использовании MySQL-server версии >= 5.7 может возникнуть его несовместимость с C++ и Python MySQL-фреймворками;
Для исправления этого следует (например, для совместимости с версией 5.6):
6.1) Задать режим обратной совместимости в mysql консоли:
mysql -u root -p
mysql> set @@global.show_compatibility_56=ON;
6.2) Добавить в файл /etc/my.cnf.d/server.cnf строку:
show_compatibility_56 = 1