Informações sobre quando os pacotes foram instalados / atualizados por quem e atualizações de acoplamento com varreduras rkhunter (avisos rkhunter)

Question

Informações sobre quando os pacotes foram instalados / atualizados por quem e atualizações de acoplamento com varreduras rkhunter (avisos rkhunter)

#1 resposta do (2 votos)

0

Então o rkhunter me fornece esses avisos (no arquivo de log) além de este (que parece ser um falso positivo) :

Checking for passwd file changes [ Warning ]
Warning: User 'logcheck' has been added to the passwd file

Info: Starting test name 'group_changes'
Checking for group file changes [ Warning ]
Warning: Changes found in the group file for group 'adm':
User 'logcheck' has been added to the group
Warning: Group 'logcheck' has been added to the group file.

Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: /etc/.java

em uma das minhas máquinas.

Outra também mostra os avisos:

Checking for passwd file changes [ Warning ]
Warning: User 'clamav' has been added to the passwd file
Warning: User 'geoclue' has been added to the passwd file
Checking for group file changes [ Warning ]
Warning: Group 'clamav' has been added to the group file
Warning: Group 'geoclue' has been added to the group file

Eu acho que esses avisos são devidos a quando eu fiz a última varredura anterior e devido a atualizações de pacotes (por exemplo, openjde) e instalações de pacotes (clamtk)?

Eu não tenho certeza sobre o geoclue e o logcheck, já que não me lembro de instalar o logcheck e ele não exibe nada em "required by" no Apper.
Existe uma maneira de exibir quando os pacotes foram instalados e atualizados e por quem?
As atualizações de pacotes e novas instalações podem ser acopladas a outras ferramentas (também?) Além do rkhunter, como fazer automaticamente uma varredura / atualização específica antes de uma nova instalação ou atualização, etc.?

Existe alguma forma, ferramenta ou prática recomendada para contabilizar atualizações de pacotes e novas instalações?

Estou executando um Debian 9.1 instalado recentemente com o KDE.

package-management security debian logs rkhunter

por mYnDstrEAm 27.07.2017 / 17:41

1 resposta

Tags package-management security debian logs rkhunter

Armazenando dados enormes no kernel do Linux gst123 não reproduz arquivos na ordem correta ao reproduzir pastas /

score 2 · Accepted Answer

/var/log/apt/history.log* contém registros de todas as atividades de apt , incluindo o nome de usuário do usuário que está solicitando a alteração (que só é útil se você usar sudo , não root diretamente).

Já existe alguma integração entre rkhunter e apt ; veja /etc/apt/apt.conf.d/90rkhunter no seu sistema. Se você deseja que isso seja ativado, é necessário alterar APT_AUTOGEN em /etc/default/rkhunter para true .

Você também pode adicionar seus próprios trabalhos de pré ou pós-instalação, por exemplo, para executar uma verificação imediatamente antes da instalação ...

A parte de "melhor prática" da sua pergunta é muito ampla para esse local. Por fim, alguns argumentam que você só deve fazer alterações em seus sistemas usando uma ferramenta como Ansible, que fornece seus próprios logs de todas as alterações.