目前,我们正在通过运行CentOS的服务器上进行PCI合规性评估。
我们正在build议的修复中遇到很多“严重”的问题。 纠正这些问题的build议主要是将软件包更新到最新版本。 好的build议我想,直到我运行“sudo yum update”,然后再次运行扫描,令人沮丧的问题没有消失。
我与我们的托pipe服务提供商(这是一个专用的服务器)交谈,他们说,尽pipe版本是最新的,它会有各种补丁修复已知的安全问题。
他们build议为软件包运行changelog命令,然后提出扫描中标记的每个严重问题。 所以我就为第一个问题创build了一个呼吁,并要求提供包的版本,补丁级别和我觉得我们免除的原因。
那么,在CentOS中,显示每个安装包的版本号和补丁级别的最简单的方法是什么?
rpm -q <package name>将为您提供软件版本号以及软件包版本号,但您需要调查rpm --changelog <package name>的内容以确定已应用哪些修补程序。
要列出所有软件包:
rpm -qa
列出所有匹配简单模式的包:
rpm -qa 'kernel*'
你的PCI审计员是一个白痴(quel惊喜)。 他们只是运行一个像nessus这样的自动化工具,它只是将服务的报告版本与上游版本的漏洞列表进行比较 – 他们没有说“嗨,这是这个软件包的补丁级别N,RedHat已经修补了所有已知的漏洞“。
最后,你必须得到报告中说你容易受到的CVE列表(如果审计师甚至不能给你这个…呃,他们是白痴,所以你已经拧了),然后通过CentOS更新日志来查看它们是否已经修复(可能还有一个安全报告系统可以查看)。 RHN有一些CVE查询服务,但是因为你不支付RHEL,所以你大概无法访问它。