Debsecan différence avec le résultat apt-upgrade

hakhak91 · Mars 18, 2016, 3:49pm

Bonjour à tous,

Il y a un point que je ne comprends pas sur debsecan si l’un de vous peut m’aider…

#debsecan --suite jessie --only-fixed --format packages | wc -l
Me retourne 35 éléments à mettre à jour

J’ai édité le fichier security.sources.list de la façon suivante
#grep “-security” /etc/apt/sources.list | sudo grep -v “#” > /etc/apt/security.sources.list
# cat /etc/apt/security.sources.list
deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

et enfin
#apt-get upgrade -o Dir::Etc::SourceList=/etc/apt/security.sources.list
et là le résultat est 0!?

Le résultat aurait du être 35?

Si vous avez plus d’explication votre aide serait la bienvenue.
Merci

grandtoubab · Mars 18, 2016, 11:31am

Salut,
je pense que debsecan n’est pas fiable.
j’ai voulu essayer pour voir:

root@desktop:/# debsecan --suite jessie --only-fixed --format packages
libc-bin
libc-dev-bin
libc6
libc6-dev
libc6-i686
linux-compiler-gcc-4.8-x86
linux-headers-3.16.0-4-686-pae
linux-headers-3.16.0-4-common
linux-image-3.16.0-4-686-pae
linux-libc-dev
locales
locales-all
multiarch-support

 root@desktop:/# apt list linux-image-3.16.0-4-686-pae -a
En train de lister... Fait
linux-image-3.16.0-4-686-pae/proposed-updates,now 3.16.7-ckt25-1 i386  [installé]
linux-image-3.16.0-4-686-pae/stable 3.16.7-ckt20-1+deb8u4 i386
linux-image-3.16.0-4-686-pae/stable 3.16.7-ckt20-1+deb8u2 i386

Debsecan n’a pas su voir que j’avais déjà de l’avance avec la version issue du dépôt proposed

aucun intérêt, je désinstalle

mon sources

root@desktop:/# cat /etc/apt/sources.list
# Securité https://www.debian.org/security
#
deb http://security.debian.org/ jessie/updates main contrib non-free
# 
# Debian 8 Jessie
#
deb http://ftp.fr.debian.org/debian/ jessie main contrib non-free
# 
# Updates Debian 8 Jessie https://wiki.debian.org/StableUpdates
#
deb http://ftp.fr.debian.org/debian/ jessie-updates main contrib non-free
#  
# Ajouts proposés pour une version intermédiaire qui sera par exemple 8.1, 8.2, 8.3
# cf https://www.debian.org/releases/stable/errata
#
deb http://ftp.fr.debian.org/debian jessie-proposed-updates main contrib non-free
#
# Rétro portage vers Jessie logiciels version récente 
deb http://ftp.fr.debian.org/debian/ jessie-backports main contrib non-free
#

hakhak91 · Mars 18, 2016, 2:14pm

En effet tu as les sources list backports. Je pense que le décalage vient de là.
Mais debsecan reste un outil intéressant pour “checker” les paquets de sécurité.(autre)

Ce que je demande dans mon post c’est une solution ou une idée pour pallier mon problème non un point de vue si “on aime ou pas”.

Merci quand même pour ton analyse.

grandtoubab · Mars 18, 2016, 3:42pm

Bof. Checker pour quoi faire? Je n’ai pas les compétences pour contester le bien fondé des MAJ de sécurité. J’installe tout systématiquement avec unattended-upgrades:

hakhak91 · Mars 18, 2016, 3:44pm

Checker pour mettre à jour!
Dans une entreprise tu ne mets pas à jour comme tu veux. Les paquets de sécu OK mais le reste tu dois contrôler.

grandtoubab · Mars 18, 2016, 5:14pm

debsecan ne contrôle que ce qui est relatif aux mises à jour de sécurité. Pas des autres mise à jour.

www.enyo.de/fw/software/debsecan/

hakhak91 · Mars 18, 2016, 6:00pm

Je sais et c’est exactement ce que je recherche.

grandtoubab · Mars 19, 2016, 7:32am

Et c’est bien pour ça que je pense que ce vieux script est complètement dépassé par unattended-upgrades qui mets à jour les dépôts que l’on veut avec une tâche au calendrier sans qu’il y ait besoin de passer une ligne de commande.
Et ceux qui me disent qu’ils vont fouiller dans le code pour voir si une mise à jour est nécessaire ou pas, je les laisse à leur maux de tête

Sujet :
unattended-upgrades result for 'desktop': 'True'
De :
root <root@localhost.localdomain>
Date :
19/03/2016 08:28
Pour :
root@localhost.localdomain

La mise à niveau automatique a renvoyé : True

Packages that were upgraded:
 calendar-google-provider icedove iceowl-extension tzdata tzdata-java 

Journal de unattended-upgrades :
Paquets initialement sur la liste noire : 
Initial whitelisted packages: 
Démarrage du script de mise à niveau automatique
Les origines permises sont : ['o=Debian,n=jessie', 'o=Debian,n=jessie-updates', 'o=Debian,n=jessie-proposed-updates', 'o=Debian,n=jessie,l=Debian-Security']
Packages that will be upgraded: calendar-google-provider icedove iceowl-extension tzdata tzdata-java
Écriture du journal de dpkg dans « /var/log/unattended-upgrades/unattended-upgrades-dpkg.log »
Toutes les mises à niveau ont été installées

Clochette · Mars 19, 2016, 10:19pm

Au sein de nos data center nous n’effectuons jamais de mise à jour automatique, c’est la porte ouverte à n’importe quoi, y compris avec les dépôts de sécurité.

De façon personnel par contre je me casse moins la tête il est vrai, mais en environnement entreprise (surtout dans le monde de l’infogérance) le contrôle maximale des paquets et de la sécurité est primordiale.
Autant c’est extrêmement rare de voir un patch foireux chez Debian, autant c’est déjà arrivé un nombre de fois incroyable sur des produits proprio.

La sécurité informatique est une spécialité à part entière tout la gestion des base de donnée ou la gestion des stockage de donnée ou la sauvegarde.

Par contre je plussoie sur le fait que debscan n’est clairement pas l’outil ultime sur lequel se reposer, mais rudement pratique pour dégrossir le travail lorsque l’on n’a pas la possibilité de profiter de serveur de scanne de sécurité comme peuvent offrir OpenVAS et Lynis (pour ceux que je connais).
Il existe des scanners de sécurité assez spécialisé comme pour les Wordpress, attention tout de même à la pertinence des failles relevés, en bref c’est tout un métier

Un paquet qui peux être utile dans le cas de déploiement de mise à jour est checkrestart, qui permettra aussi de tester l’utilité d’un redémarrage d’un service afin de prendre en compte la mise à jour déployé … la mise à jour de OpenSSL ou de la libC requiert parfois de redémarrer des services pas évident à deviner lorsque l’on n’a pas le nez régulièrement dedans par exemple.

Enfin car beaucoup de monde utilise du MySQL ou affiliée, l’utilisation régulière de MySQLtunner, permet de relever des problèmes d’optimisation et de sécurité dans de rare cas (qui oserai de nos jours ne pas protéger un utilisateur MySQL avec un mot de passe).

En dernier lieu pour une sécurité maximum, le cloisonnement et le durcissement d’une Debian est parfois une nécessité.

Ce ne sont que des pistes à explorer pour compléter debsecan …

hakhak91 · Mars 21, 2016, 8:24am

Merci pour cette réponse pertinente. Mais j’aimerai savoir quelle est la nature d’un tel écart? debsecan n’est il pas devenu obsolète?

grandtoubab · Mars 21, 2016, 10:43am

Pertinente parce qu’elle conforte des à priori???

Clochette · Mars 21, 2016, 2:25pm

Des à priori sur l’application des mises à jour de sécurité de façon automatique par exemple ?

Après l’écart de version s’explique par le simple fait que debsecan utilise et scanne les paquets venant des dépôts Debian gérer par la Debian testing security team et le dépôts backport n’est pas pris en charge comme tous les autres dépôts tiers.

Il est donc logique que ces paquets soit ignoré durant le scanne.

hakhak91 · Mars 29, 2016, 8:01am

A aucun moment je n’ai cité les dépôts backport dans mes sources list.

Je ne comprends toujours pas pourquoi nous avons un tel écart!?