Auditoria de vulnerabilidades mediante portage

Gentoo Linux

La gran mayoría de intrusiones se producen como consecuencia de vulnerabilidades conocidas en los sistemas que han sido instalado y han quedado desactualizados. Mantener el sistema actualizado es el único y más valioso paso que se puede dar para obtener la mejor seguridad.

El portage de Gentoo permite auditar vulnerabilidades en el sistema gracias a que junto con los ebuilds se incluyen avisos de seguridad denominados GLSA (Gentoo Linux Security Advisory), el cual es un sistema para informar de vulnerabilidades en los paquetes instalados.

Sin embargo estos sistemas no verifican en forma automática los problemas de seguridad por si solos, dado que es necesario configurar algunos parámetros para que este sistema funcione.

¿Qué se necesita?

  1. Mantener actualizado a diario el árbol de ebuild del portage.
  2. Tener instalado el paquete app-portage/gentoolkit, el cual incluye la utilidad glsa-check.
  3. Tener instalado algun MTA para enviar informes via correo electrónico: por ejemplo mail-mta/ssmtp, mail-mta/postfix, etc
  4. Tener instalado el paquete sys-process/vixie-cron
  5. Crear una tarea programada para ser ejecutada por cron a diario.

glsa-check

glsa-check es una pequeña herramienta incluida en el paquete app-portage/gentoolkit que puede chequear los paquetes del sistema para verificar que paquetes pueden estar afectados por un anuncio de seguridad (GLSA), generar reportes, enviar alertas por correo electrónico y/o aplicar actualizaciones de ser necesario.

Configuración de glsa-check

Se deben agregar las siguientes líneas en el archivo "/etc/make.conf:

PORTAGE_ELOG_MAILURI="administrator@some-domain.com smtp.some-domain.com"
PORTAGE_ELOG_MAILFROM="portage@some-domain.com"

Configuración para enviar un reporte GLSA diario

Suponiendo que ya tenemos configurada la actualización del árbol de ebuilds del portage, añadimos la siquiente línea a /var/spool/cron/crontabs para ejecutar glsa-check cada día a las 04:00 hs para que envíe un reporte de auditoria vía correo electrónico:

0  4 * * * root /usr/bin/glsa-check --mail affected

Referencias

Manual de seguridad de Gentoo: http://www.gentoo.org/doc/es/security/security-handbook.xml?part=1&chap=14