有關何時由誰安裝/更新軟體包以及將更新與 rkhunter 掃描耦合的資訊(rkhunter 警告)
所以 rkhunter 給了我這些警告(在日誌文件中),超出了這個警告(這似乎是誤報):
檢查 passwd 文件更改
$$ Warning $$
警告:使用者 ’logcheck’ 已添加到 passwd 文件中 資訊:開始測試名稱 ‘group_changes’
檢查組文件更改
$$ Warning $$
警告:在組“adm”的組文件中發現更改:
使用者“logcheck”已添加到組中
警告:組“logcheck”已添加到組文件中。 檢查隱藏文件和目錄
$$ Warning $$
警告:找到隱藏目錄:/etc/.java
在我的一台機器上。
另一個也向我展示了警告:
檢查 passwd 文件更改
$$ Warning $$
警告:使用者 ‘clamav’ 已添加到 passwd 文件中
警告:使用者 ‘geoclue’ 已添加到 passwd 文件中
檢查組文件更改 $$ Warning $$
警告:組“clamav”已添加到組文件中
警告:組“geoclue”已添加到組文件中
我猜這些警告是由於我上次進行較早的掃描以及由於軟體包更新(例如 openjde)和軟體包安裝(clamtk)引起的?
我不確定 geoclue 和 logcheck,因為我不記得安裝 logcheck 並且在 Apper 的“required by”下沒有顯示任何內容。
有沒有辦法顯示軟體包的安裝和更新時間以及由誰更新?
包更新和新安裝是否應該與 rkhunter 之外的其他工具(也?)結合使用,例如在新安裝或更新之前自動執行一些特定的掃描/更新等?
是否有某種方法、工具或最佳實踐來說明包更新和新安裝?
我正在使用 KDE 執行最近安裝的 Debian 9.1。
/var/log/apt/history.log*包含所有apt活動的日誌,包括請求更改的使用者的使用者名(僅在您使用時有用sudo,而不是root直接使用)。和之間已經有一些整合;在您的系統上查看。如果要啟用它,則需要更改為.
rkhunter``apt``/etc/apt/apt.conf.d/90rkhunter``APT_AUTOGEN``/etc/default/rkhunter``true您還可以添加自己的安裝前或安裝後作業,例如在安裝前執行掃描…
您問題的“最佳實踐”部分對於這個場所來說太寬泛了。最終,有些人會爭辯說,您應該只使用 Ansible 之類的工具對系統進行更改,該工具會提供自己的所有更改日誌。