Bonjour, Luc Novales a écrit : > > $ sudo rkhunter --propupd > Cette commande met à jour, sans vérification et de façon globale, > c'est très dangereux.
Pour ma part, lorsque rkhunter me signale que des exécutables sensibles ont été mis à jour, je vérifie dans les logs d'APT que ces modifications correspondent bien à des mises à jour de paquets officiels (à ce sujet, apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité des mises à jour, je lance la commande : for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do rkhunter --propupd $c done > sinon, cela obligerait à le faire à la main à chaque mise à jour, > après vérification qu'aucun autre fichier n'a changé. Un outil de scellement, qui signale la mise à jour des exécutables et d'autres fichiers sensibles, ne doit justement pas actualiser sa base automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la légitimité des mises à jour. Alors certes, cette vérification manuelle est pénible à concilier avec une mise à jour automatique et fréquente du système (mise à jour qui a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on veut le beurre et l'argent du beurre, c'est le prix à payer. Et c'est pour cela que j'utilise rkhunter, outil qui procède à un scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés à des machines extrêmement durcies qui, une fois configurées, ne devraient qu'être exceptionnellement mises à jour. Sébastien -- Sébastien Dinot, sebastien.di...@free.fr http://sebastien.dinot.free.fr/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !