检查FreeBSD pkg audit Nagios|Icinga|shinken|etc插件。
项目描述
用法
此检查在您的主机及其运行jail上运行pkg audit。
示例输出
正常
CHECKPKGAUDIT OK - 0 vulnerabilities found ! | 'host.domain.tld'=0;;@1:;0 http=0;;@1:;0 masterdns=0;;@1:;0 ns0=0;;@1:;0 ns1=0;;@1:;0 ns2=0;;@1:;0 smtp=0;;@1:;0
严重
首次发现存在漏洞的pkg时达到严重状态。没有警告,没有可配置的阈值,为什么等待2个或更多漏洞?
我们谈论的是安全漏洞!
当然,插件会汇总所有漏洞并详细列出每个受影响的宿主|jail。
CHECKPKGAUDIT CRITICAL - found 2 vulnerable(s) pkg(s) in : ns2, ns3 | 'host.domain.tld'=0;;@1:;0 http=0;;@1:;0 masterdns=0;;@1:;0 ns0=0;;@1:;0 ns1=0;;@1:;0 ns2=1;;@1:;0 ns3=1;;@1:;0 smtp=0;;@1:;0
请注意,摘要返回问题总数
在:ns2, ns3中发现了2个受影响的pkg,但性能数据按宿主|jail详细说明。
未知
如果在pkg audit过程中发生错误,插件会引发检查错误,返回未知状态。
典型的未知原因
pkg audit -F 未在主机或jail上运行
CHECKPKGAUDIT UNKNOWN - jailname Try running 'pkg audit -F' first | 'host.domain.tld'=0;;@1:;0 http=0;;@1:;0 masterdns=0;;@1:;0 ns0=0;;@1:;0 ns1=0;;@1:;0 ns2=0;;@1:;0 smtp=0;;@1:;0
pkg -j jailname audit 以非sudoer用户运行
CHECKPKGAUDIT UNKNOWN - jailname pkg: jail_attach(jailname): Operation not permitted | 'host.domain.tld'=0;;@1:;0
如果您有正在运行的jail,sudo可以帮助您以非特权用户运行此插件。以下是一个示例配置
icinga ALL = NOPASSWD: /usr/local/bin/check_pkgaudit
安装
checkpkgaudit 可以通过 easy_install 或 pip 安装。
在或不在virtualenv中
easy_install checkpkgaudit
# or
pip install checkpkgauditcheck_pkgaudit 位于 /usr/local/bin/check_pkgaudit
pkg install -y ca_root_nss
ln -s /usr/local/share/certs/ca-root-nss.crt /etc/ssl/cert.pemNagios|icinga类似配置
check_pkgaudit 可以通过 check_by_ssh 或 NRPE 进行本地或远程调用。
check_by_ssh
以下是一个通过ssh远程检查的示例定义
命令定义
define command{
command_name check_ssh_pkgaudit
command_line $USER1$/check_by_ssh -H $HOSTADDRESS$ -i /var/spool/icinga/.ssh/id_rsa -C "sudo /usr/local/bin/check_pkgaudit"
}
服务本身
define service{
use my-service
host_name hostname
service_description pkg audit
check_command check_ssh_pkgaudit!
}
icinga2命令
object CheckCommand "pkgaudit" {
import "plugin-check-command"
import "ipv4-or-ipv6"
command = [ PluginDir + "/check_by_ssh" ]
arguments = {
"-H" = "$address$"
"-i" = "$ssh_id$"
"-p" = "$ssh_port$"
"-C" = "$ssh_command$"
}
vars.address = "$check_address$"
vars.ssh_id = "/var/spool/icinga/.ssh/id_rsa"
vars.ssh_port = "$vars.ssh_port$"
vars.ssh_command = "sudo /usr/local/bin/check_pkgaudit"
}
icinga2服务
apply Service "pkgaudit" {
check_command = "pkgaudit"
assign where host.name == "hostname"
}
NRPE
将此行添加到 /usr/local/etc/nrpe.cfg
... command[check_pkgaudit]=/usr/local/bin/check_pkgaudit ...
nagios命令定义
define command{
command_name check_nrpe_pkgaudit
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c check_pkgaudit
}
服务本身
define service{
use my-service
host_name hostname
service_description pkg audit
check_command check_nrpe_pkgaudit
}
测试
python bootstrap-buildout.py --setuptools-version=33.1.1 --buildout-version=2.5.2
bin/buildout -N
bin/test变更日志
0.7.2 (2017-06-05)
修复python3支持 https://github.com/jpcw/checkpkgaudit/issues/10
0.7.1 (2017-03-08)
README改进 – Lcaracol
0.7 (2017-03-07)
修复vnet jail缺少ip jls输出 https://github.com/jpcw/checkpkgaudit/issues/4 – blQn
移除py2.6、py32并添加py3.6支持
0.6 (2016-03-14)
添加对hastd的排除 – voileux
0.5 (2016-03-11)
添加对不同jail和主机名的支持 – StbX
0.4 (2015-03-21)
改进README以解决可能的pypi ssl证书问题,提供解决方案
0.3 (2015-03-21)
修复install README中的错误 – Nicolas RAHIR nox
添加NRPE conf示例 – Nicolas RAHIR nox
0.2 (2015-03-06)
修复徽章
0.1 (2015-03-06)
Jean-Philippe Camguilhem <jpcw__at__camguilhem.net>
贡献者
Mathias : Lcaracol
Damien LACOSTE : Dam64
Thomas BALDAQUIN : blQn
Simon RECHER : voileux
Steffen Brandemann : StbX
Nicolas RAHIR : nox
Jean-Philippe Camguilhem,作者
checkpkgaudit-0.7.2.tar.gz的哈希
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | c348bb617a7da5d72e5db5d515f4856b064a8ed867dcad6be98e538bcce62156 |
|
| MD5 | de38241f0799796f49058791c857d75f |
|
| BLAKE2b-256 | 01d966cfb677f4d82934f8fdbd31fa66e59650bc6ee324003ba2f6c235336d93 |
