portauditでportsのセキュリティーをチェックするメモ
security/portauditはセキュリティホールがあるportsを調べてくれる。
以下簡単な使い方のメモ。
インストール
Portsでsecurity/portauditを入れた後、/usr/local/etc/portaudit.conf.sampleをportaudit.confにコピーして編集。
と言っても、設定するのはプロクシ位しか無い。
簡単な使い方
# portaudit -Fa auditfile.tbz 100% of 39 kB 65 kBps New database installed. Affected package: google-earth-4.0.2091 Type of problem: google-earth -- heap overflow in the KML engine. Reference: http://www.freebsd.org/ports/portaudit/5c9a2769-5ade-11db-a5ae-00508d6a62df.html 1 problem(s) in your installed packages found. You are advised to update or deinstall the affected package(s) immediately.
「-F」はデータベースを拾ってくるオプションでrootのみ使える。
「-a」はインストール済みのパッケージ全てをチェックするオプション。
上の例だとGoogle Earthにオーバーフローのバグがあることが分かる。
# portaudit -Faq google-earth-4.0.2091
セキュリティホールがあるかどうかだけ知りたいなら「-q」オプションを付ける。
その他の機能
portauditは毎日勝手に実行される。
毎日夜中の3時に「Charlie Root」から届くあのメールに実行結果が載るが、真夜中に起動してないと意味が無い。
セキュリティホールのあるportsをインストールさせない機能がある。
しばらくportauditを使ってないと現在は修正済みのportsがインストール出来ない事があるので、その時は「portaudit -F」をやれば解決する。
セキュリティーホールがあっても無理矢理インストールしたい場合は、該当portsのMakefileにあるFORBIDDENの行をコメントアウトして更に/var/db/portaudit/auditfile.tbzを削除してからインストールする。
おまけ
http://www.vuxml.org/freebsd/を見てもチェックが出来る。RSSにも対応してる。
これと同じ内容が/usr/ports/security/vuxml/vuln.xmlにある。