Portaudit

Installierte Programme können unter FreeBSD auf Sicherheitslöcher überprüft werden.

Dazu portinstall portaudit ausführen. Ein portaudit -dFa lädt eine aktuelle Datenbank mit bekannte Sicherheitslöchern und gibt nur die sicherheitsrelevanten Informationen für das eigene System aus.

Läuft der Rechner auch nachts durch, wird die Datenbank selbständig aktualisiert und die Informationen im daily cron per Mail ausgegeben.

Ein Programm das via Ports installiert werden soll (auch bei Updates) wird nun voher überprüft, bei einem bekannten Sicherheitsloch verweigert das System die Installation. Umgangen werden kann dies mit der Option DISABLE_VULNERABILITIES. D.h. trotz bedenken wird eine Installation z.B. mit

cd /usr/ports/[...]/[...]
make -DDISABLE_VULNERABILITIES install

durchgeführt.

Analog zu den Port-Tools:

portupgrade -m DISABLE_VULNERABILITIES=YES [PORT]
portinstall -m DISABLE_VULNERABILITIES=YES [PORT]

Folgendes Script bringt die Ports und den Index auf den neusten Stand, löscht nicht mehr benötigte Distfiles und work-Verzeichnisse und schmeißt das Update der Software mit Sicherheitslöchern an:

/usr/local/sbin/portsclean -CDQ<br />cd /usr/ports<br />/usr/local/bin/cvsup /usr/ports/ports-supfile # &gt;&gt; /var/log/cvsup.ports.log<br />make fetchindex #2&gt;/dev/null  &gt; /var/log/cvsup.ports.log<br />/usr/local/sbin/portaudit |/usr/bin/grep &quot;Affected package:&quot; //<br />     |/usr/bin/awk '{print &quot;/usr/local/sbin/portupgrade &quot;}' | /bin/csh