debsecan (Debian Security Analyzer) ist ein Paket, um eine Installation nach ihrem Sicherheitsstand zu überprüfen. Die Paketbeschreibung lautet:
Untersucht Debian auf Sicherheitslücken
Das Werkzeug debsecan erzeugt eine Liste der Schwachstellen, die eine
bestimmte Debian-Installation betreffen. Es läuft auf dem Rechner, der
überprüft werden soll und lädt Informationen zu den Anfälligkeiten aus dem
Internet. Das Programm kann E-Mails an interessierte Dritte verschicken,
wenn neue Sicherheitslücken entdeckt werden oder wenn Sicherheits-Updates zur Verfügung stehen.
Für Debian Sid bzw. sidux sind die wichtigsten Befehle (als user):
debsecan --suite sid debsecan --suite sid --only-fixed debsecan --suite sid | grep "obsolete"
Damit erhält man die Ausgabe
1) aller Sicherheitsprobleme in Sid
2) aller behobenen Sicherheitsmängel
3) einer Liste veralteter Pakete mit Sicherheitsproblemen
Falls keine Sicherheitsmängel festgestellt werden, gibt es bei 2) und 3) keine Ausgabe.
debsecan lässt sich auch mit apt verbinden und in ein Alias oder Skript einbauen. Die Syntax sieht so aus:
apt-get update && apt-get install $(debsecan --suite sid --format packages --only-fixed)
Mehr Informationen findet man mittels:
man debsecan debsecan --help
Ich setze debsecan ein, um Debian Sid bzw. sidux längere Zeit „stabil“ am Laufen zu haben, ohne auf Sicherheitsupdates verzichten zu müssen. Eine gesamte Systemaktualisierung muss dann nur nach Bedarf oder Lust und Laune stattfinden.
Pakete aus Drittrepositorien werden durch debsecan nicht abgedeckt, die müssen manuell geprüft werden.
Mir persönlich ist dieses Tool auf Debian Sid bzw. sidux lieber als die Kombination apticron und apt-listchanges, da Letzteres immer die aktuellsten Pakete runterlädt, bevor sie analysiert werden. Wenn man nicht jeden Upgrade von Sid mitmachen möchte, bedeutet dies doch ziemlich viel leeren Download.
Notizblog 