[rkhunter]: Mises =c3=a0 jour de paquets

Le
Luc Novales
Bonjour,

Cela fait plusieurs fois que je me retrouve confronté au problème lié à
des alertes de rkhunter, suite à des mises à jours de paquets, dont il
n'a pas eu l'information sur les fichiers remplacés.

Cela touche des paquets très différents, et jusqu'à maintenant, je n'ai
eu ces problèmes que sur des mises à jour de sécurité.

Un rapport de bug sur les paquets touchés n'est pas vraiment approprié,
qui sait comment faire remonter ce problème ?

Merci

Luc.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Dominique Dumont
Le #26459449
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problè me lié à
des alertes de rkhunter, suite à des mises à jours de paquets, dont il
n'a pas eu l'information sur les fichiers remplacés.

Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il
faut mettre à jour la base de données de rkhunter avec cette com mande:
$ sudo rkhunter --propupd
A+
--
https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/
http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
Luc Novales
Le #26459486
Bonjour,
Le 16/01/2018 à 10:15, Dominique Dumont a écrit :
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problème lié à
des alertes de rkhunter, suite à des mises à jours de paquets, dont il
n'a pas eu l'information sur les fichiers remplacés.

Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il
faut mettre à jour la base de données de rkhunter avec cette commande:
$ sudo rkhunter --propupd

Cette commande met à jour, sans vérification et de façon globale, c'est
très dangereux.
Je suis étonné car la mise à jour normale de paquets ne pose pas de
problèmes, il doit bien avoir des scripts post-install qui font le
travail finement, juste pour les fichiers mis à jour par le nouveau
paquet, sinon, cela obligerait à le faire à la main à chaque mise à
jour, après vérification qu'aucun autre fichier n'a changé.
Le responsable du paquet est le plus à même de dire à rkhunter ce qui a
changé ;-)
C'est bien cette opération qui me semble oubliée dans des mises à jour
non standards (backports, sécurité...)
Bonne journée,
Luc.
Sébastien Dinot
Le #26459578
Bonjour,
Luc Novales a écrit :
$ sudo rkhunter --propupd

Cette commande met à jour, sans vérification et de façon globale,
c'est très dangereux.

Pour ma part, lorsque rkhunter me signale que des exécutables sensibles
ont été mis à jour, je vérifie dans les logs d'APT que ces modifications
correspondent bien à des mises à jour de paquets officiels (à ce sujet,
apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité
des mises à jour, je lance la commande :
for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do
rkhunter --propupd $c
done
sinon, cela obligerait à le faire à la main à chaque mise à jour,
après vérification qu'aucun autre fichier n'a changé.

Un outil de scellement, qui signale la mise à jour des exécutables et
d'autres fichiers sensibles, ne doit justement pas actualiser sa base
automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la
légitimité des mises à jour.
Alors certes, cette vérification manuelle est pénible à concilier avec
une mise à jour automatique et fréquente du système (mise à jour qui
a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on
veut le beurre et l'argent du beurre, c'est le prix à payer.
Et c'est pour cela que j'utilise rkhunter, outil qui procède à un
scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés
à des machines extrêmement durcies qui, une fois configurées, ne
devraient qu'être exceptionnellement mises à jour.
Sébastien
--
Sébastien Dinot,
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Publicité
Poster une réponse
Anonyme