Управление пакетом Linux и дефекты безопасности
Да. Это - то, для чего пакетный режим rsync. Из страницы справочника:
Пакетный режим может использоваться для применения того же набора обновлений многих идентичных систем. Предположим, что у каждого есть дерево, которое копируется в ряде хостов. Теперь предположите, что некоторые изменения были внесены в это исходное дерево, и те изменения должны быть распространены к другим хостам. Чтобы сделать, этот пакетный режим использования, rsync выполняется с опцией пакета записи для применения изменений, внесенных в исходное дерево к одному из целевых деревьев. Опция пакета записи заставляет rsync клиент хранить в "пакетном файле", вся информация должна была повторить эту операцию против другого, идентичных целевых деревьев.
Генерация пакетного файла однажды сохраняет необходимость выполнить состояние файла, контрольную сумму и поколение блока данных несколько раз при обновлении нескольких целевых деревьев. Многоадресные транспортные протоколы могут использоваться для передачи файлов пакетного обновления параллельно многим хостам сразу, вместо того, чтобы отправить те же данные в каждый хост индивидуально.
Для применения зарегистрированных изменений в другом целевом дереве выполните rsync с опцией пакета чтения, указав название того же пакетного файла и целевое дерево. Rsync обновляет целевое дерево с помощью информации, хранившей в пакетном файле.
Пример:
$ rsync --write-batch=foo -a host:/source/dir/ /adest/dir/
$ scp foo* remote:
$ ssh remote ./foo.sh /bdest/dir/
Вот несколько локальных детекторов / проверок уязвимостей Heartbleed:
titanous на github , похоже, все еще находится в стадии активной разработки, и titanous также выпустил программный код Go для обнаружения Heartbleed, у него сегодня утром сообщения были лучше, чем у Filippo, и последний раз обновлялся 32 минуты назад. Похоже, что это под лицензией Go, хотя я не проводил полного сравнения; похожа на лицензию BSD 3.
musalbas на github выпустила программу Python "ssltest.py", вариант кода @ MichelZ, на который есть ссылки на ответ, который изменен для одновременного создания больших списков, лицензия не указана . Мусалбас также опубликовал списки результатов сканирования топ-100, 1000, 10000 и 1 миллион интернет-сайтов по состоянию на 5 часов назад.
Filippo.io был одним из первых веб-сайтов, и они выпустили свой код на github с лицензией MIT (язык программирования Go) .
Codenomicon Defensics , похоже, также обнаруживает Heartbleed.
Lekensteyn , конечно, выпустил программу проверки клиента python для кардиостимулятора, измененную несколько часов назад, а также исходную версию ssltest.py Стаффорда . Никакая конкретная лицензия не указана.
Metasploit также очень быстро получает тесты Heartbleed, включая проверку сервера, ссылка на которую приведена здесь , и проверку клиента от @HDMoore и @Lekensteyn
Кроме того, вы можете захотеть получить автоматическое обнаружение и прерывание атаки, установив новые правила Snort из индикаторов компрометации в реальном времени , поскольку атака может идти в обе стороны (ваш клиент тоже может быть атакован, если он уязвим). Это не говорит вам, атаковал ли кто-то сайт в прошлом, но может сказать вам, атакует ли кто-то вас прямо сейчас.
alert tcp any [! 80,! 445] -> any [! 80 ,! 445] (сообщение: «FOX-SRT - Подозрительно - Ответ SSLv3 на большое сердцебиение»; поток: установлен, to_client; содержимое: «| 18 03 00 |»; глубина: 3; byte_test: 2,>, 200, 3, большой; byte_test: 2, <, 16385, 3, большой; порог: ограничение типа, отслеживание by_src, счет 1, секунд 600; ссылка: cve, 2014-0160; classtype: bad-unknown; sid: 1000000; rev: 4;)
alert tcp any [! 80,! 445] -> any [! 80,! 445] (msg: «FOX-SRT - Suspicious - TLSv1 Large Heartbeat Response»; поток: установлен, to_client; содержимое: «| 18 03 01 | "; глубина: 3; byte_test: 2,>, 200, 3, большой; byte_test: 2, <, 16385, 3, большой; порог: ограничение типа, трек by_src, счет 1, секунд 600; ссылка: cve, 2014-0160; classtype: плохо-неизвестно; сид: 1000001; rev: 4;)
alert tcp any [! 80,! 445] -> any [! 80,! 445] (msg: «FOX-SRT - Suspicious - TLSv1.1 Large Heartbeat Response»; поток: установлен, to_client; содержимое: "| 18 03 02 |"; глубина: 3; byte_test: 2,>, 200, 3, большой; byte_test: 2, <, 16385, 3, большой; порог: ограничение типа, отслеживать by_src, счетчик 1 , секунд 600; ссылка: cve, 2014-0160; classtype: bad-unknown; sid: 1000002; rev: 4;)
alert tcp any [! 80,! 445] -> any [! 80,! 445] (сообщение: «FOX-SRT - Подозрительно - TLSv1.2, ответ на большое сердцебиение»; поток: установлен, to_client; содержимое: «| 18 03 03 |»; глубина: 3; byte_test: 2,>, 200, 3, большой; byte_test: 2, <, 16385, 3, большой; порог: ограничение типа, отслеживать by_src, count 1, секунд 600; ссылка: cve, 2014-0160; classtype: плохо-неизвестно; сид: 1000003; rev: 4;)
Пожалуйста, также поблагодарите snort.org за выпуск набора правил обнаружения Heartbleed , которые обычно присутствовали бы только в их списке правил VRT (платной подписки) в течение первых 30 дней перед выходом. сообществу:
alert tcp $ EXTERNAL_NET любой -> $ HOME_NET 443 (сообщение: «СЕРВЕР-ДРУГАЯ попытка переполнения пульса при чтении OpenSSL SSLv3»; поток: to_server, установлен; содержимое: «| 18 03 00 |»; глубина: 3; dsize:> 40; detection_filter: отслеживать по_src, счетчик 3, секунды 1; метаданные: отбрасывание сбалансированных ips политик, отбрасывание ips безопасности политики, ssl-адрес службы; ссылка: cve, 2014-0160; classtype: Попытка-реконструкция; sid : 30510; rev: 2;)
alert tcp $ EXTERNAL_NET любой -> $ HOME_NET 443 (сообщение: «ДРУГОЙ СЕРВЕР - попытка переполнения пульса при чтении OpenSSL TLSv1»; поток: to_server, установлен; содержание: «| 18 03 01 |»; глубина: 3; размер:> 40; Detection_filter: отслеживать по_src, счет 3, секунды 1; метаданные: отбрасывание сбалансированных IP-политик, удаление IP-адресов безопасности политики, ssl-адрес службы; ссылка: cve, 2014-0160; classtype: попытка-разведка; sid: 30511; rev: 2;)
alert tcp $ EXTERNAL_NET any -> $ HOME_NET 443 (msg: "ДРУГОЙ СЕРВЕР OpenSSL TLSv1.1 попытка переполнения пульса при чтении"; поток: to_server, установлен; content: "| 18 03 02 |" ; глубина: 3; размер:> 40; фильтр_обнаружения: отслеживать по_src, счетчик 3, секунды 1; метаданные: отбрасывание ips-политики сбалансированной, отбрасывание ips-политики безопасности, ssl-адрес службы; ссылка: cve, 2014-0160; тип класса: попытка- recon; sid: 30512; rev: 2;)
alert tcp $ EXTERNAL_NET любой -> $ HOME_NET 443 (msg: "СЕРВЕР-ДРУГАЯ попытка переполнения пульса при чтении OpenSSL TLSv1.2"; поток: to_server, установлен; содержание: " установлен; содержание: «| 18 03 01 |»; глубина: 3; byte_test: 2,>, 128,0, относительный; Detection_filter: отслеживать by_dst, счет 5, секунд 60; метаданные: отбрасывание сбалансированных IP-политик, удаление IP-адресов безопасности политики, ssl-адрес службы; ссылка: cve, 2014-0160; classtype: попытка-разведка; сид: 30515; rev: 3;)
alert tcp $ HOME_NET 443 -> $ EXTERNAL_NET any (msg: «SERVER-OTHER TLSv1.1, большой ответ пульса - возможна попытка утечки сердечного сообщения ssl»; поток: to_client, установлен; содержание: «| 18 03 02 | "; глубина: 3; byte_test: 2,>, 128,0, относительный; обнаружение_фильтра: отслеживать by_dst, счет 5, секунд 60; метаданные: отбрасывание сбалансированных ips политик, отбрасывание ips безопасности политик, ssl службы; ссылка: cve, 2014-0160; classtype: try-recon; sid: 30516; rev: 3;)
alert tcp $ HOME_NET 443 -> $ EXTERNAL_NET любой (msg: "SERVER-OTHER TLSv1. Пользователь, установивший пакет, содержит известную угрозу безопасности?
Нет.
Знание такого рода вещей - часть работы профессионального системного администратора. Я не ожидаю (и не хочу), чтобы мои инструменты кормили меня с ложечки. Я также не хочу, чтобы они мешали мне делать что-то разрушительное, если я того хочу. Вы знаете эту цитату о власти и ответственности? Это применимо и здесь.