Re: [rkhunter]: Mises à jour de paquets
Bonjour, Luc Novales a écrit : > > $ sudo rkhunter --propupd > Cette commande met à jour, sans vérification et de façon globale, > c'est très dangereux. Pour ma part, lorsque rkhunter me signale que des exécutables sensibles ont été mis à jour, je vérifie dans les logs d'APT que ces modifications correspondent bien à des mises à jour de paquets officiels (à ce sujet, apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité des mises à jour, je lance la commande : for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do rkhunter --propupd $c done > sinon, cela obligerait à le faire à la main à chaque mise à jour, > après vérification qu'aucun autre fichier n'a changé. Un outil de scellement, qui signale la mise à jour des exécutables et d'autres fichiers sensibles, ne doit justement pas actualiser sa base automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la légitimité des mises à jour. Alors certes, cette vérification manuelle est pénible à concilier avec une mise à jour automatique et fréquente du système (mise à jour qui a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on veut le beurre et l'argent du beurre, c'est le prix à payer. Et c'est pour cela que j'utilise rkhunter, outil qui procède à un scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés à des machines extrêmement durcies qui, une fois configurées, ne devraient qu'être exceptionnellement mises à jour. Sébastien -- Sébastien Dinot, sebastien.di...@free.fr http://sebastien.dinot.free.fr/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Re: [rkhunter]: Mises à jour de paquets
Bonjour, Le 16/01/2018 à 10:15, Dominique Dumont a écrit : On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote: Cela fait plusieurs fois que je me retrouve confronté au problème lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés. Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette commande: $ sudo rkhunter --propupd Cette commande met à jour, sans vérification et de façon globale, c'est très dangereux. Je suis étonné car la mise à jour normale de paquets ne pose pas de problèmes, il doit bien avoir des scripts post-install qui font le travail finement, juste pour les fichiers mis à jour par le nouveau paquet, sinon, cela obligerait à le faire à la main à chaque mise à jour, après vérification qu'aucun autre fichier n'a changé. Le responsable du paquet est le plus à même de dire à rkhunter ce qui a changé ;-) C'est bien cette opération qui me semble oubliée dans des mises à jour non standards (backports, sécurité...) Bonne journée, Luc.
Re: [rkhunter]: Mises à jour de paquets
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote: > Cela fait plusieurs fois que je me retrouve confronté au problème lié à > des alertes de rkhunter, suite à des mises à jours de paquets, dont il > n'a pas eu l'information sur les fichiers remplacés. Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette commande: $ sudo rkhunter --propupd A+ -- https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/ http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
[rkhunter]: Mises à jour de paquets
Bonjour, Cela fait plusieurs fois que je me retrouve confronté au problème lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés. Cela touche des paquets très différents, et jusqu'à maintenant, je n'ai eu ces problèmes que sur des mises à jour de sécurité. Un rapport de bug sur les paquets touchés n'est pas vraiment approprié, qui sait comment faire remonter ce problème ? Merci Luc.
