Tipps für die Integration von KernelCare Enterprise von TuxCare in Qualys
Qualys bietet einen Einblick in die IT-Infrastruktur mit umfassenden Berichten über den Zustand der Systeme und eventuell vorhandene Schwachstellen.
TuxCare's KernelCare Enterprise bietet Live-Patching für den Linux-Kernel und wichtige Shared Libraries wie OpenSSL und glibc (Funktionalität mit LibraryCare Add-on).
Es ist möglich, KernelCare-spezifische Informationen in Qualys-Berichte zu integrieren, die das Beste aus beiden Welten bieten und den gepatchten Zustand laufender Kernel genau wiedergeben. Dieser Artikel zeigt Ihnen, wie Sie dies erreichen können.
Es gibt bereits eine Integration zwischen Qualys und KernelCare, die dafür sorgt, dass "Information gathering"-Operationen die richtigen Informationen zurückgeben. Wenn KernelCare auf einem System eingesetzt wird, liefert Qualys die folgende Ausgabe für eine "Information gathering"-Operation:
Und das ist wie erwartet. Wenn man sich die Details ansieht, kann man die effektive Version des aktuell laufenden Kernels erkennen:
Und
Dies ist das Ergebnis von "/usr/bin/kcare-uname -r". Dieser Befehl liefert die korrekte Ausgabeversion für ein System mit einem Kernel, der Live-Patches erhalten hat, im Gegensatz zu "uname -r", das nur die installierte Kernelversion anzeigt.
Für "Informationssammlungs"-Operationen ist Qualys also KernelCare-kompatibel und liefert die richtige Ausgabe.
Wenn jedoch nach kernelbezogenen Paketversionen gesucht wird, meldet "Veraltete Pakete" immer noch die ältere Kernelversion, wodurch die Anzahl der vorhandenen Sicherheitslücken künstlich aufgebläht wird:
Um dies zu korrigieren, gibt es in Qualys unter "Report Template" die Option, ältere Versionen gezielt zu ignorieren:
Mit diesem Filter werden ältere Kernel-Versionen im Bericht korrekt ignoriert. In unserem Testbeispiel hat die Änderung dies bewirkt:
Hier geht es weiter:
Dies ist nicht nur ein Trick, um einige Probleme zu ignorieren - es ist ein Weg, um sicherzustellen, dass der Qualys-Bericht korrekte Schwachstellen widerspiegelt, wenn Systeme mit KernelCare Enterprise von TuxCare geschützt sind.