背景
- Vulsは便利
- 放置してたサーバはパッケージ数が多くて大変
- 簡単にセキュリティに関するアップデートだけしたい
調査
CentOSはyum --security update が機能しない
→ yum-security-plugin in Centos
※yumリポジトリ用のセキュリティに関するメタデータが提供されていない模様
CEFS で提供されるCentOSのエラッタ情報を generate_updateinfo.py に食わせればyum用メタデータが作れる!
→ CentOS6 でセキュリティに関するパッケージの更新のみ行う
- が、ダメ。Vulsのレポート結果と食い違う(過少)
- rpmにepoch情報を持ったパッケージがリストアップされない
- CEFS提供のメタデータにはepochが含まれていないっぽい
- generate_updateinfo.pyでもepochは補完されない
Vulsのレポートからyum用リポジトリのメタデータ(updateinfo.xml)を作ればいいじゃん!
- そのようなものはない
- じゃあ、どうする
解決策
作った → vuls_to_updateinfo
使い方はギフハブ参照。