Arch Linuxosaknak lesz érdekes ez a pár sor, hiszen ez rendszer specifikus megoldás. Ma olyan témát dolgozom fel, ami gyakorlatilag periferikus, de hasznos lehet. Érdemes lesz elolvasni, megjegyezni, de túl nagy hasznát nem veszed a mindennapi munkában.
A bevált gyakorlat az operációs rendszer és az összes csomag frissítése a biztonsági rések ellen. Mivel az Arch Linux gördülő disztribúció, Arch felhasználóként naponta kapjuk a javításokat és a szoftverfrissítéseket. Eddig nem volt olyan nap, amikor legalább pár csomag ne frissült volna nálam. A legtöbb Arch Linux használó időszakosan frissít, így a biztonsági rések javításra kerülnek nagyrészt azonnal. Mi pont ezért szeretjük az Arch Linuxot! 🙂 Ha nem frissíted gyakran az Arch Linux rendszert, akkor időről időre ellenőrizni kellene a biztonsági réseket. Ha naponta frissítesz, akkor is érdemes tisztában lenni a biztonsági résekekel, bár igazából nem sokat tudunk ezekkel kezdeni, ilyenkor ez maximum érdekesség.
Felmerülhet a kérdés, hogy miért is ne frissítené valaki napi, pár napi periódusban a rendszert? Mert tart a hibáktól. Logikus elgondolás – bár én nem követem –, hogy csak havi ciklusban frissíti fel a legújabbra, mert így lecsökkenti a frissítéssel érkező hibák számát. Ha nem romlik el valami, nem kell javítani – ezt az elvet is lehet követni, és csak akkor frissíteni, ha azt egy komoly biztonsági rést találnak, javítanak, vagy új funkció kerül a programba.
De ebben az esetben ellenőrizni kell a biztonsági rések, hibák stb. meglétét, és mihamarabb jelzést kapni a problémáról. Két megoldás lehetséges. Az egyik macerás, és sok időt rabol el: minden nap, vagy legalábbis hetente megnézed a biztonsági riasztásokat, és ha olyan programot érint, ami számodra fontos, és a hiba már javításra került, frissítesz. Macerás, szerintem a nagyon kockákon kívül senki nem olvassa napi rendszerességgel az ilyen hivajelentéseket.
A másik megoldás, ha a arch-audit eszköz használod. Segít megtalálni az Arch Linux, annak származékai, például a Manjaro Linux sebezhető csomagjait.
A programocska az ACMT adatbázisát használja. Ez egy önkéntes csoport, amely segítséget nyújt az Arch Linux biztonsági rések azonosításában és bejelentésében. Az ACMT fő célja hibákat találni a csomagokban, és értesíteni a fejlesztőket, ha vannak sebezhető pontok. Azaz nem a arch-audit keresi meg a gépeden a hibákat, hanem csak elemzi a https://security.archlinux.org/ oldalt, és megjeleníti az eredményeket a terminálon.
sudo pacman -S arch-audit
Telepíted, és elindítod.
arch-audit
Package inetutils is affected by CVE-2019-0053. High risk!
Package openjpeg2 is affected by CVE-2019-6988. Low risk!
Package podofo is affected by CVE-2018-20751. Low risk!
Package unzip is affected by CVE-2018-1000035. Low risk!
Nálam ez az eredmény. Ha csak a program nevére vagy kíváncsi, ami biztonsági rést jelent, akkor a -q kapcsolót használd.
Ok, lefutott a program, mit lehet tenni? Azonkívül, hogy pánikolsz, hogy már fel is törték a gépedet, és zombi gépként használva támadják a Pentagont, kirobbantva az atomháborút a gonosz hackerek! No para!
sudo pacman -Syu
Azaz, ha régen frissítettél, akkor frissítsd a rendszeredet. Nálam a napi frissítés után is vannak biztonsági értesítések, a fenti négy programra. Mit lehet tenni ilyen esetben? Gyakorlatilag semmit, meg kell várni a javítást. Ahogy a listából is látni, a dátumok régiek, így a fejlesztő vagy nem tartotta olyan nagy hibának, amit azonnal javítani kell, vagy pedig nem tudta javítani. Jellemzően az ilyen sebezhetőségek nagy része elvi, azaz ki lehet használni, de nagyon-nagyon kicsi az esélye, hogy azt valaki ellened fordítja. Így én nem aggódom ezek miatt. A másik megoldás, ha ezeket a programokat lecseréled. Ilyenkor előbb érdemes megnézni, hogy a High risk! Low risk! jelzés a konkrét esetben mit jelent, milyen esetben okozhat számodra gondot. Majd ha komolyan aggódsz a dolog miatt egy alternatív programot keresel, és a biztonsági rést mutatót leszeded.
A program érdekesség, hasznos, de nem kell pánikolni, ha kiír valamit.