CVE-Manager: различия между версиями
Нет описания правки |
Нет описания правки |
||
| Строка 3: | Строка 3: | ||
== Назначение == | == Назначение == | ||
cve-manager предназначен для формирования базы данных уязвимостей (БДУ) программ, которые находятся в заданных репозиториях rpm-пакетов, а также для предоставления интерфейса доступа к записям сформированной БД (например, для дальнейшего их представления на web-ресурсе, или осуществления почтовой рассылки). | <i>cve-manager</i> предназначен для формирования базы данных уязвимостей (БДУ) программ, которые находятся в заданных репозиториях rpm-пакетов, а также для предоставления интерфейса доступа к записям сформированной БД (например, для дальнейшего их представления на web-ресурсе, или осуществления почтовой рассылки). | ||
== Структура программы == | == Структура программы == | ||
cve-manager состоит из следующих модулей: | <i>cve-manager</i> состоит из следующих модулей: | ||
# <b>cve-manager</b> - диалоговый интерфейс для запуска всех остальных модулей; | # <b>cve-manager</b> - диалоговый интерфейс для запуска всех остальных модулей; | ||
# <b>cve-backup</b> - осуществляет резервное копирование/восстановление ранее сформированной БДУ; | # <b>cve-backup</b> - осуществляет резервное копирование/восстановление ранее сформированной БДУ; | ||
| Строка 32: | Строка 32: | ||
== Использование == | == Использование == | ||
Запуск cve-manager:<br> | Запуск <i>cve-manager</i>:<br> | ||
<code>cve-manager [-h] [-a] [-t] [-p] [-d]</code> | <code>cve-manager [-h] [-a] [-t] [-p] [-d]</code> | ||
<br> | <br> | ||
| Строка 41: | Строка 41: | ||
:<i>-p, --plain</i> - Упрощенный вывод (следует использовать, например, при записи в файл).<br> | :<i>-p, --plain</i> - Упрощенный вывод (следует использовать, например, при записи в файл).<br> | ||
При запуске без параметра "<i>-a</i>" cve-manager работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы". | При запуске без параметра "<i>-a</i>" <i>cve-manager</i> работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы". | ||
== Разворачивание базы данных уязвимостей == | == Разворачивание базы данных уязвимостей == | ||
Для работы cve-manager нет необходимости устанавливать MySQL сервер и создавать БД уязвимостей в своём окружении - в настройках cve-manager может быть указан адрес удалённого сервера. Тем не менее, это можно сделать, выполнив следующие шаги:<br> | Для работы <i>cve-manager</i> нет необходимости устанавливать MySQL сервер и создавать БД уязвимостей в своём окружении - в настройках <i>cve-manager</i> может быть указан адрес удалённого сервера. Тем не менее, это можно сделать, выполнив следующие шаги:<br> | ||
1) Установить MySQL сервер:<br> | 1) Установить MySQL сервер:<br> | ||
::<code>apt-get install MySQL-server</code> | ::<code>apt-get install MySQL-server</code> | ||
Версия от 01:26, 12 сентября 2018
cve-manager - консольная программа, предназначенная для отслеживания уязвимостей программного обеспечения, имеет модульную структуру, написана на Python и C++. Распространяется по лицензии GPLv3.0.
Назначение
cve-manager предназначен для формирования базы данных уязвимостей (БДУ) программ, которые находятся в заданных репозиториях rpm-пакетов, а также для предоставления интерфейса доступа к записям сформированной БД (например, для дальнейшего их представления на web-ресурсе, или осуществления почтовой рассылки).
Структура программы
cve-manager состоит из следующих модулей:
- cve-manager - диалоговый интерфейс для запуска всех остальных модулей;
- cve-backup - осуществляет резервное копирование/восстановление ранее сформированной БДУ;
- cve-download - осуществляет загрузку по https списков уязвимостей, предоставляемых NVD (National Vulnerability Database) и ФСТЭК (Федеральная служба по техническому и экспортному контролю), а также CPE словаря;
- cve-import - осуществляет для выбранных репозиториев внесение списка пакетов, которые размещены на alt-сервере (например "/ALT/p8/files/list/src.list" и "/ALT/p8/files/list/bin.list" для ветви p8), а также внесение загруженных списков уязвимостей и CPE словаря в БД MySQL; Имеет возможность фильтрации импортируемых списков пакетов в соответствии с содержимым предоставляемого текстового файла, каждая строка которого является названием пакета, информация о котором должна быть учтена в БДУ;
- cve-fixes - извлекает 'Fixes' записи и URL из метаданных всех исходных пакетов рассматриваемых репозиториев, использует gb-x-parse-vulns-from-changelog;
- cpe-map - осуществляет установление соответствия импортированных в БД названий исходных пакетов рассматриваемых репозиториев и 1) названий программных продуктов из импортированного в БД CPE словаря, а также 2) названий программных продуктов из импортированного в БД списка уязвимостей ФСТЭК;
- cve-issues - осуществляет установление соответствия между данными, внесёнными в БД с помощью модулей cve-import, cpe-map, cve-fixes, а именно - записи в БД вида "<CVE или ФСТЭК идентификатор>, <название пакета>, <Fix-status>", где <Fix-status> - значение из следующего набора:
- changelog - устранение данной уязвимости обозначено в changelog-секции пакета;
- bigger version - версия пакета в репозитории больше данной уязвимой версии;
- lesser version - версия пакета в репозитории меньше данной уязвимой версии;
- [NO FIX] - версия пакета в репозитори совпадает с уязвимой версией пакета и устранение данной уязвимости не зафиксировано;
- cve-monitor - предназначен для посылки запросов в БД и выдачи результатов, например получение списка всех пакетов с имеющимися незакрытыми уязвимостями; На данный момент (версия 0.17) результаты представляются в произвольной текстовой форме, в ближайшей перспективе возможность их получения в формате XML/JSON/YAML.
Все модули кроме cve-import написаны на Python, cve-import написан на C++.
Настройка
Параметры cve-manager определяются файлом ini-формата /etc/cve-manager/cve-manager.conf. Данный ini-файл состоит из следующих секций:
- database, содержащей параметры соединения с базой данных MySQL;
- branches, содержащей метки о рассмотрении (значение 1) или не рассмотрении (значение 0) соответствующей ветви Sisyphus;
- paths, в которой указывается путь к корневому каталогу alt-сервера, а также путь к каталогу, в который cve-download загружает входные данные и откуда cve-import их импортирует в БД.
Файл настройки принадлежит пользователю root, относится к группе cve и имеет режим rw-r-----. Таким образом, изменять файл настроек может только пользователь root, а для его чтения следует добавить нужного пользователя в группу cve (без возможности чтения файла настроек cve-manager работать не будет).
Использование
Запуск cve-manager:
cve-manager [-h] [-a] [-t] [-p] [-d]
- -h, --help - Вывод справки;
- -a, --auto - Запуск модулей один за другим в автоматическом режиме;
- -s MODULE_NAME, --starting_step MODULE_NAME - Запуск работы в автоматическом режиме с указанного шага (название модуля без приставки "cve-")
- -t, --timer - Задействование таймера, который измеряет интервалы времени исполнения запускаемых модулей;
- -p, --plain - Упрощенный вывод (следует использовать, например, при записи в файл).
При запуске без параметра "-a" cve-manager работает в диалоговом режиме - на каждом шаге выводится справочная информация о возможных действиях. На первом шаге следует выбрать нужный для использования в данный момент модуль, при выборе модуля выводится справочная информация данного модуля. При начале работы с нуля следует запускать модули в том порядке, в котором они перечислены в разделе "Структура программы".
Разворачивание базы данных уязвимостей
Для работы cve-manager нет необходимости устанавливать MySQL сервер и создавать БД уязвимостей в своём окружении - в настройках cve-manager может быть указан адрес удалённого сервера. Тем не менее, это можно сделать, выполнив следующие шаги:
1) Установить MySQL сервер:
apt-get install MySQL-server
2) Внести изменения в файл настройки MySQL сервера /etc/my.cnf.d/server.cnf:
#skip-networking
bind-address = 127.0.0.1
3) Перезапустить MySQL сервер и запустить MySQL консоль:
su -l -c 'service mysqld restart'mysql -u root
4) Задать пароль пользователя MySQL с именем root:
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('root-passwd');- , где root-passwd - задаваемый пароль пользователя root;
5) Добавить пользователя MySQL, от имени которого будет осуществляться работа с БД:
mysql> grant all privileges on *.* to 'user-name'@'localhost' identified by 'user-passwd';- , где user-name - имя пользователя, user-passwd- пароль пользователя;
6) При использовании MySQL-server версии >= 5.7 может возникнуть его несовместимость с используемыми C++ и Python MySQL-фреймворками;
Для исправления этого следует (например, для совместимости с версией 5.6):
- 6.1) Задать режим обратной совместимости в mysql консоли:
mysql -u root -pmysql> set @@global.show_compatibility_56=ON;
- 6.2) Добавить в файл /etc/my.cnf.d/server.cnf строку:
show_compatibility_56 = 1