[FRsAG] solution opensource de patch management compatible debian ?

Maxence Dunnewind maxence at dunnewind.net
Mer 22 Aou 11:34:08 CEST 2018


Le Wed, Aug 22, 2018 at 11:30:03AM +0200, Alexandre DERUMIER a écrit :
> >>Chez nous on utilise Vulners (https://vulners.com/). Ca ne répond pas forcément
> >>à la partie "mise à jours dispo" mais par contre ça permet de savoir quel CVE
> >>impact quel serveur en fonction de ses paquets . Il y a plusieurs façon de
> >>l'utiliser (et ça gère aussi les CMS par ex). Chez nous on fait grosso merdo un
> >>`dpkg --get-selections` et on lui balance la liste, et ça nous retourne les CVE.
>
> je connaissais pas, ca a l'air pas mal du tout. moyen d'intégrer ca avec nmap, burp, et co ..
>
>
>
> >>Comme on avait moyennement envie d'envoyer à une boite (russe) les IPs de nos
> >>serveurs avec la liste de leurs versions de paquets, on s'est fait un petit
> >>proxy qui cache les résultats et ne fait toutes nos requêtes qu'à partir d'une
> >>IP.
>
> Effectivement ;)  Y'a une version hosté payante apparement. tu connais les tarifs ?

Nop du tout. On l'utilise en version gratos. Il y a une limite (que j'ai
oubliée) sur le nombre de requête, mais vu qu'on a notre proxy/cache, on ne fait
qu'une requête par version par semaine je crois, donc on a jamais eu de
probleme.

Leur team est assez réactive et cool, faut pas hésiter à les mail.


Maxence 

>
>
> ----- Mail original -----
> De: "Maxence Dunnewind" <maxence at dunnewind.net>
> À: "Jean-Yves LENHOF" <jean-yves at lenhof.eu.org>
> Cc: "aderumier" <aderumier at odiso.com>, "French SysAdmin Group" <frsag at frsag.org>
> Envoyé: Mercredi 22 Août 2018 11:06:53
> Objet: Re: [FRsAG] solution opensource de patch management compatible debian ?
>
> Hello,
>
> Le Wed, Aug 22, 2018 at 10:58:24AM +0200, Jean-Yves LENHOF a écrit :
> > Le 2018-08-22 10:11, Alexandre DERUMIER a écrit :
> > >Bonjour,
> > >
> > >je suis à la recherche d'une solution de patch management
> > >centralisée, opensource,
> > >qui pourrait remonter de facon centralisée les patchs/mise à jour à
> > >faire sur les serveurs,
> > >avec les CVE/failles de securité.
> > >
> > >compatible debian (et ubuntu), et si possible centos.
>
> Chez nous on utilise Vulners (https://vulners.com/). Ca ne répond pas forcément
> à la partie "mise à jours dispo" mais par contre ça permet de savoir quel CVE
> impact quel serveur en fonction de ses paquets . Il y a plusieurs façon de
> l'utiliser (et ça gère aussi les CMS par ex). Chez nous on fait grosso merdo un
> `dpkg --get-selections` et on lui balance la liste, et ça nous retourne les CVE.
>
> Comme on avait moyennement envie d'envoyer à une boite (russe) les IPs de nos
> serveurs avec la liste de leurs versions de paquets, on s'est fait un petit
> proxy qui cache les résultats et ne fait toutes nos requêtes qu'à partir d'une
> IP.
>
> Maxence
>
> > >
> > >Il y a spacewalk de redhat, mais c'est l'usine à gaz et le support
> > >debian n'est pas terrible.
> > >
> > >quelqu'un connais un solution sympa ?
> > >
> > >Si pas opensource, possible proprio, mais pas de license par machine
> > >à monitorer. (on a un parc de 3000vms, donc ca sera hors budget)
> > >
> > >Cordialement,
> > >
> > >Alexandre
> > >_______________________________________________
> > >Liste de diffusion du FRsAG
> > >http://www.frsag.org/
> >
> > Hello,
> >
> > La solution pour RedHat désormais ce n'est plus Spacewalk ou son
> > propriétaire RHEL Satellite 5 qui est/ne va plus être maintenue...
> > (C'est d'ailleurs pour ça que Suse a forké si j'ai bien suivi ici :
> > https://github.com/uyuni-project/uyuni)
> >
> > Désormais la solution upstream de RHEL Satellite 6 c'est plutôt katello
> >
> > Après ça reste assez lourd à mettre en place à mon avis (j'ai tjs
> > pas eu le temps de faire ça qq part)
> >
> > Sinon pour Debian, mais qui ne répond pas complètement à ta demande
> > il y a aptly
> > https://www.aptly.info/
> > Mais de ce que j'ai vu cela ne répond pas à la question sur la
> > partie CVE... même s'il est possible d'avoir une partie des infos
> > puisque les CVE sont corrigées via le repo security.debian.org
> >
> > Sinon pour Ubuntu, il y a :
> > https://landscape.canonical.com
> >
> > Sinon en cherchant un peu j'ai trouvé ces trucs proprio là :
> > https://www.manageengine.com/patch-management/help/managing-linux-computers.html
> > https://sysward.com/
> > https://one.comodo.com/patch-management/linux-patch-management-tools.php
> > https://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard/specifications/system-requirements
> >
> > N'hésites pas à faire un retour, c'est un sujet intéressant cette
> > affaire
> >
> > Cordialement,
> >
> > JYL
> > _______________________________________________
> > Liste de diffusion du FRsAG
> > http://www.frsag.org/
>
> --
> Maxence DUNNEWIND
> Contact : maxence at dunnewind.net
> Site : http://www.dunnewind.net
> + 33 6 32 39 39 93
> GPG : 18AE 61E4 D0B0 1C7C AAC9 E40D 4D39 68DB 0D2E B533
>
>V

--
Maxence DUNNEWIND
Contact : maxence at dunnewind.net
Site : http://www.dunnewind.net
+ 33 6 32 39 39 93
GPG : 18AE 61E4 D0B0 1C7C AAC9  E40D 4D39 68DB 0D2E B533
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 198 octets
Desc: Digital signature
URL: <http://www.frsag.org/pipermail/frsag/attachments/20180822/ea86e414/attachment-0001.sig>


Plus d'informations sur la liste de diffusion FRsAG