Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1815 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Inventaire de parc et gestion de patchs ...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Inventaire de parc et gestion de patchs ...

n°496099
Snipe Foo
Head Shot !!!
Posté le 05-06-2004 à 16:33:56  profilanswer
 

Hello,
 
   de retour du SSTIC (www.sstic.org), je suis plus que jamais éffrayé par la dangerosité du monde qui nous entoure :D
 
   je me demandais s'il éxiste un système d'inventorisation des softs installés sur les machines Unix/Linux/MS, qui, bien sur, indiquerait précisément la version installée (et eventuellement niveau de patch) et pour parfaire le boulot, serait capable d'interroger des bases de vulnérabilité pour présenter à l'admin (fainéant) une liste des applis/os à patcher ?
 
   sinon j'ai bien imaginé un systeme (simple et pas cher) mais c'est jamais la peine de réinventer la roue ;)


Message édité par Snipe Foo le 05-06-2004 à 17:36:38
mood
Publicité
Posté le 05-06-2004 à 16:33:56  profilanswer
 

n°496124
Kahyman
Posté le 05-06-2004 à 16:59:04  profilanswer
 

sous freebsd passer uniquement par les ports / pkg officiels et utiliser pkg_info ?
 
Enfin tout systeme de pkg te fait ca je ne vois pas ce ue tu cherches :/

n°496125
cedcox
poly-OS ! ;)
Posté le 05-06-2004 à 17:01:28  profilanswer
 

kahyman a écrit :

sous freebsd passer uniquement par les ports / pkg officiels et utiliser pkg_info ?
 
Enfin tout systeme de pkg te fait ca je ne vois pas ce ue tu cherches :/


 
oui mais appremment, il aimerait bien que le soft soit independant de l'OS et puisse en gérer plusieurs...


---------------
Les hommes se trompent, les preuves elles, ne mentent jamais...
n°496128
Kahyman
Posté le 05-06-2004 à 17:04:14  profilanswer
 

petit papa noel... quand tu descendras du ciel...

n°496129
Snipe Foo
Head Shot !!!
Posté le 05-06-2004 à 17:04:17  profilanswer
 

Ben fait, je cherche une solution de "gros fainéant" : Une vue centrale de tous mes systemes (tous OS), avec une infos quasi temps-reel.
 
C'est bien uniquement de l'information que je recherche : Quels server/workstation contiennent des applis vulnérables ? mais pas un systeme d'automatisation de déploiement (tel SUS).

n°496141
cedcox
poly-OS ! ;)
Posté le 05-06-2004 à 17:18:46  profilanswer
 

Snipe Foo a écrit :

Ben fait, je cherche une solution de "gros fainéant" : Une vue centrale de tous mes systemes (tous OS), avec une infos quasi temps-reel.
 
C'est bien uniquement de l'information que je recherche : Quels server/workstation contiennent des applis vulnérables ? mais pas un systeme d'automatisation de déploiement (tel SUS).


 
dis toi que si ce logiciel existait, on aurait plus de boulot !!! alors ne surtout pas le chercher ni le créer !!! [:joce]


---------------
Les hommes se trompent, les preuves elles, ne mentent jamais...
n°496146
Snipe Foo
Head Shot !!!
Posté le 05-06-2004 à 17:33:03  profilanswer
 

Mouais, je suis pas convaincu ;)
Il y a tellement de taf dans le domaine de la sécu, que même si tout était automatisé, on manquerait encore de temps. Et puis il ne s'agit que de l'automatisation d'une activité laborieuse et gourmande en temps...
 
Bon, voilà ce que je pensais (au cas où ça n'éxiste pas déjà) :
 
- Plusieurs scripts (un par OS) qui scanne la machine (HD) et qui génére une liste de TOUS les éxécutables présents, ainsi que TOUTES les librairies, et surtout la version de chaque exe/dll. Ce script enverrai via http (car simple à mettre en oeuvre) la liste générée à une base de données.
- Une base de "signature" qui ferait correspondre un liste d'exe/dll à une application complete (ou plutot à la version d'une application)
- Une base de vulnérabilité (en faite, une replique des bases disponnibles)
- Un moteur de recoupement qui, à partir des autres bases, génererait une liste des applications présentes sur les machines, et une liste des machines vulnérables.
 
Honnetement, je pense que le systeme n'est pas parfait, mais il ferait gagner pas mal de temps aux gens peu rigoureux ou qui ne connaisent pas tout leur parc (car c'est souvent impossible au delà d'un certain nombre de machines). En plus, il est, je pense assez simple à réaliser et à mettre en oeuvre.
 
Edit : correction de syntaxe  :pt1cable:


Message édité par Snipe Foo le 05-06-2004 à 17:36:00
n°496189
Velhcro
Cosworth Addicted
Posté le 05-06-2004 à 18:54:01  profilanswer
 

je sais que ce soft n'est pas libre, mais TrackBird ?
 
http://www.sbedirect.com/-/logicie [...] 3968683d8b
 
après tout dépend si tu cherches une solution "payante" ou non


---------------
Feedback
n°496206
Snipe Foo
Head Shot !!!
Posté le 05-06-2004 à 19:18:05  profilanswer
 

Effectivement, ça à l'air d'etre sympa mais :
- ça fait plus que ce dont j'aurais besoin
- ça m'a l'air orienté workstation, j'ai peur que la base d'applicatif ne couvre pas les serveurs
- il ne supporte pas encore Linux
- il faut encore ajouter la gestion des patchs
 
Bref : c'est pas fait pour, mais c'est quand meme jouable.... j'ai demandé une version d'éval.

n°496972
Snipe Foo
Head Shot !!!
Posté le 06-06-2004 à 22:42:31  profilanswer
 

S'il y en a que ça interesse, j'ai résumé l'idée ici : http://www.galipeur.com/sah si vous avez des idées/commentaires, ils sont les bienvenus :)

mood
Publicité
Posté le 06-06-2004 à 22:42:31  profilanswer
 

n°497096
alien cons​piracy
hardtrance addict
Posté le 06-06-2004 à 23:54:38  profilanswer
 

Une série de script bash (ou python, perl, ...) pourrait faire l'affaire non ?

n°497325
Snipe Foo
Head Shot !!!
Posté le 07-06-2004 à 11:31:41  profilanswer
 

Tout à fait, je parle dans le résumé, d'application, mais il peut très bien s'agir de script interpretés. Il faut juste faire en sorte dque le format de données et la commnications soient universels pour permettre le support de plusieurs OS.

n°497529
alien cons​piracy
hardtrance addict
Posté le 07-06-2004 à 15:04:17  profilanswer
 

Python me semble le langage le plus portable.

n°497572
Snipe Foo
Head Shot !!!
Posté le 07-06-2004 à 15:19:08  profilanswer
 

Le soucis avec un script Python / Perl ou autre, c'est qu'il faudra déployer, en plus de l'agent, l'interpreteur, ce qui risque d'etre trop lourd.

n°497632
alien cons​piracy
hardtrance addict
Posté le 07-06-2004 à 16:42:44  profilanswer
 

py2exe est ton ami, mais ca risque de faire un programme lourd.

n°1116147
Snipe Foo
Head Shot !!!
Posté le 24-02-2009 à 08:39:43  profilanswer
 

Les amis, même en temps de crise on peut croire au Père Noël ... :)  
 
Presque 5 ans après ce post, Secunia sort un logiciel qui rempli exactement cette fonction : CSI (Corporate Software Inspection).  
 
J'ai eut l'occasion de le tester (la procédure de test est en peu lourde avec prise de rendez-vous par un commercial, en anglais et le logiciel est super bridé : 1 jour pour une machine sur le réseau).
 
Les résultats sont tout simplement bluffant, le logiciel trouve tous les softs, même ceux qui ne sont pas installé (exemple, l'utilitaire sous forme de .exe que vous avez copié sur une clé USB), vous donne la liste des vulnérabilités connues pour chaque logiciel et, cerise sur le gateau : le lien vers le correctif.
 
Bon, leur tarifs ne sont pas donnés (vraiment pas, mais je ne peux pas vous les dévoiler) mais pour une entreprise de taille moyenne à grande, je pense que le jeu en vaut largement la chandelle vu les ressource nécessaire pour suivre l'actualité des failles et faire le rapprochement avec un inventaire du parc souvent incomplet.
 
Le site de ce produit : http://secunia.com/vulnerability_scanning/corporate/

n°1116260
M300A
Posté le 24-02-2009 à 11:42:31  profilanswer
 

Aucun intérêt pour Linux puisque les failes sont patchées par la distribution...

n°1116285
macfennec
Zorro del Sáhara
Posté le 24-02-2009 à 13:05:20  profilanswer
 

si tu veux connaitre une liste matériel de tes machines, il faut installer une sonde:
 
OCSinventory rempli bien ce rôle. elle envoie les info au serveur de façon aléatoire (pour éviter de surcharger le serveur si c'est envoyé a heure fixe))
 
En 2e lieu, c'est sonde permet aussi d'inventorier les logiciels installé dessus. (sous windows du moins).
Enfin, elle permet de déployer des soft/correctif et peut etre interrogé a distance si nécessaire.
 
Coté serveur, ca fonctionne avec un serveur LAMP et ocs est consultable via une interface web.
 
Pour ce qui est de la base de vulnerabilité etc... je ne me suis pas penché sur ce probleme avec ocs.
Cette application est open source et bien souvent couplé à glpi.
 
 
Ca ne correspond pas tout à fait a tes besoins, mais ce peut être une source d'inspiration.


Message édité par macfennec le 24-02-2009 à 13:06:58
n°1116287
o'gure
Modérateur
Multi grognon de B_L
Posté le 24-02-2009 à 13:13:50  profilanswer
 

Le post initial date de 2004, au passage.


---------------
Relax. Take a deep breath !
n°1116290
macfennec
Zorro del Sáhara
Posté le 24-02-2009 à 13:15:17  profilanswer
 

snipe foo [:don_poulpo]
 
question à  snipe foo en passant  :whistle: : est-ce moins cher qu'un microsoft center +wsus ? (cela dit, si j'ai bien compris, CSI est multiplateforme ?)


Message édité par macfennec le 24-02-2009 à 13:21:59
n°1116758
Snipe Foo
Head Shot !!!
Posté le 25-02-2009 à 15:40:31  profilanswer
 

MacFennec : OCSinventory/GLPI je connais, j'utilise, c'est bien mais ça ne répond qu'à une toute petite partie des besoins. De plus, OCS se base uniquement sur la liste des programmes installé et non la liste des programmes présents sur la machine, ce qui bien souvent différent. Il n'y a pas, à ma connaissance, de possibilité de coupler GLPI à une base de vulnérabilité.
 
Pour le tarif, c'est plus cher System Center Essentials.
 
Mais du coté des fonctionnalités, on est bien loin de ce genre de soft. CSI trouve tous les exe/dll vulnerables et propose un lien vers leur mise à jour, et ce, peu importe l'éditeur.
 
Exemple sur ma machine (un Windows, bouh). Si je regarde GLPI, j'ai Flash Player 10. Si je regarde l'Ajout-suppression de programme, j'ai Flash Player 10. Mais si je regarde dans CSI, je vois qu'une version vulnérable de Flash Player 9 est encore en service dans le dossier des programmes téléchargés d'IE.
 

n°1116831
macfennec
Zorro del Sáhara
Posté le 25-02-2009 à 17:38:48  profilanswer
 

Merci de tes précisions.  :jap:

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Inventaire de parc et gestion de patchs ...

 

Sujets relatifs
applet gestion batterie sous mandrake 10[BASH] KSH : gestion de la date
Question sur la gestion des logs Apache pour bcp de VhostsLes nouvelles normes de gestion des périph de stockage
Gestion des utilisateurs[mdk 10] Problème de gestion du ventillateur sur un portable
cherche outils de gestion d'alimentation pour portable sous MandrakeQuel est la specificité des patchs mm
Gestion S-ATA au démarrage sur Mandrake 10.0Quelles options pour le noyau pour une bonne gestion des processus ?
Plus de sujets relatifs à : Inventaire de parc et gestion de patchs ...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR