Re: [rkhunter]: Mises à jour de paquets
Bonjour, Luc Novales a écrit : > > $ sudo rkhunter --propupd > Cette commande met à jour, sans vérification et de façon globale, > c'est très dangereux. Pour ma part, lorsque rkhunter me signale que des exécutables sensibles ont été mis à jour, je vérifie dans les logs d'APT que ces modifications correspondent bien à des mises à jour de paquets officiels (à ce sujet, apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité des mises à jour, je lance la commande : for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do rkhunter --propupd $c done > sinon, cela obligerait à le faire à la main à chaque mise à jour, > après vérification qu'aucun autre fichier n'a changé. Un outil de scellement, qui signale la mise à jour des exécutables et d'autres fichiers sensibles, ne doit justement pas actualiser sa base automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la légitimité des mises à jour. Alors certes, cette vérification manuelle est pénible à concilier avec une mise à jour automatique et fréquente du système (mise à jour qui a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on veut le beurre et l'argent du beurre, c'est le prix à payer. Et c'est pour cela que j'utilise rkhunter, outil qui procède à un scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés à des machines extrêmement durcies qui, une fois configurées, ne devraient qu'être exceptionnellement mises à jour. Sébastien -- Sébastien Dinot, sebastien.di...@free.fr http://sebastien.dinot.free.fr/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Re: [rkhunter]: Mises à jour de paquets
Bonjour, Le 16/01/2018 à 10:15, Dominique Dumont a écrit : On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote: Cela fait plusieurs fois que je me retrouve confronté au problème lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés. Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette commande: $ sudo rkhunter --propupd Cette commande met à jour, sans vérification et de façon globale, c'est très dangereux. Je suis étonné car la mise à jour normale de paquets ne pose pas de problèmes, il doit bien avoir des scripts post-install qui font le travail finement, juste pour les fichiers mis à jour par le nouveau paquet, sinon, cela obligerait à le faire à la main à chaque mise à jour, après vérification qu'aucun autre fichier n'a changé. Le responsable du paquet est le plus à même de dire à rkhunter ce qui a changé ;-) C'est bien cette opération qui me semble oubliée dans des mises à jour non standards (backports, sécurité...) Bonne journée, Luc.
Re: [rkhunter]: Mises à jour de paquets
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote: > Cela fait plusieurs fois que je me retrouve confronté au problème lié à > des alertes de rkhunter, suite à des mises à jours de paquets, dont il > n'a pas eu l'information sur les fichiers remplacés. Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette commande: $ sudo rkhunter --propupd A+ -- https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/ http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
