Cela fait plusieurs fois que je me retrouve confronté au problème lié à
des alertes de rkhunter, suite à des mises à jours de paquets, dont il
n'a pas eu l'information sur les fichiers remplacés.
Cela touche des paquets très différents, et jusqu'à maintenant, je n'ai
eu ces problèmes que sur des mises à jour de sécurité.
Un rapport de bug sur les paquets touchés n'est pas vraiment approprié,
qui sait comment faire remonter ce problème ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Dominique Dumont
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problè me lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés.
Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette com mande: $ sudo rkhunter --propupd A+ -- https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/ http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problè me lié à
des alertes de rkhunter, suite à des mises à jours de paquets, dont il
n'a pas eu l'information sur les fichiers remplacés.
Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il
faut mettre à jour la base de données de rkhunter avec cette com mande:
$ sudo rkhunter --propupd
A+
--
https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/
http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problè me lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés.
Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette com mande: $ sudo rkhunter --propupd A+ -- https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/ http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
Luc Novales
Bonjour, Le 16/01/2018 à 10:15, Dominique Dumont a écrit :
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problème lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés.
Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette commande: $ sudo rkhunter --propupd
Cette commande met à jour, sans vérification et de façon globale, c'est très dangereux. Je suis étonné car la mise à jour normale de paquets ne pose pas de problèmes, il doit bien avoir des scripts post-install qui font le travail finement, juste pour les fichiers mis à jour par le nouveau paquet, sinon, cela obligerait à le faire à la main à chaque mise à jour, après vérification qu'aucun autre fichier n'a changé. Le responsable du paquet est le plus à même de dire à rkhunter ce qui a changé ;-) C'est bien cette opération qui me semble oubliée dans des mises à jour non standards (backports, sécurité...) Bonne journée, Luc.
Bonjour,
Le 16/01/2018 à 10:15, Dominique Dumont a écrit :
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problème lié à
des alertes de rkhunter, suite à des mises à jours de paquets, dont il
n'a pas eu l'information sur les fichiers remplacés.
Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il
faut mettre à jour la base de données de rkhunter avec cette commande:
$ sudo rkhunter --propupd
Cette commande met à jour, sans vérification et de façon globale, c'est
très dangereux.
Je suis étonné car la mise à jour normale de paquets ne pose pas de
problèmes, il doit bien avoir des scripts post-install qui font le
travail finement, juste pour les fichiers mis à jour par le nouveau
paquet, sinon, cela obligerait à le faire à la main à chaque mise à
jour, après vérification qu'aucun autre fichier n'a changé.
Le responsable du paquet est le plus à même de dire à rkhunter ce qui a
changé ;-)
C'est bien cette opération qui me semble oubliée dans des mises à jour
non standards (backports, sécurité...)
Bonjour, Le 16/01/2018 à 10:15, Dominique Dumont a écrit :
On Tuesday, 16 January 2018 09:31:43 CET Luc Novales wrote:
Cela fait plusieurs fois que je me retrouve confronté au problème lié à des alertes de rkhunter, suite à des mises à jours de paquets, dont il n'a pas eu l'information sur les fichiers remplacés.
Dpkg ne communique pas avec rkhunter. Après une mise à jour des paquets, il faut mettre à jour la base de données de rkhunter avec cette commande: $ sudo rkhunter --propupd
Cette commande met à jour, sans vérification et de façon globale, c'est très dangereux. Je suis étonné car la mise à jour normale de paquets ne pose pas de problèmes, il doit bien avoir des scripts post-install qui font le travail finement, juste pour les fichiers mis à jour par le nouveau paquet, sinon, cela obligerait à le faire à la main à chaque mise à jour, après vérification qu'aucun autre fichier n'a changé. Le responsable du paquet est le plus à même de dire à rkhunter ce qui a changé ;-) C'est bien cette opération qui me semble oubliée dans des mises à jour non standards (backports, sécurité...) Bonne journée, Luc.
Sébastien Dinot
Bonjour, Luc Novales a écrit :
$ sudo rkhunter --propupd
Cette commande met à jour, sans vérification et de façon globale, c'est très dangereux.
Pour ma part, lorsque rkhunter me signale que des exécutables sensibles ont été mis à jour, je vérifie dans les logs d'APT que ces modifications correspondent bien à des mises à jour de paquets officiels (à ce sujet, apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité des mises à jour, je lance la commande : for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do rkhunter --propupd $c done
sinon, cela obligerait à le faire à la main à chaque mise à jour, après vérification qu'aucun autre fichier n'a changé.
Un outil de scellement, qui signale la mise à jour des exécutables et d'autres fichiers sensibles, ne doit justement pas actualiser sa base automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la légitimité des mises à jour. Alors certes, cette vérification manuelle est pénible à concilier avec une mise à jour automatique et fréquente du système (mise à jour qui a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on veut le beurre et l'argent du beurre, c'est le prix à payer. Et c'est pour cela que j'utilise rkhunter, outil qui procède à un scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés à des machines extrêmement durcies qui, une fois configurées, ne devraient qu'être exceptionnellement mises à jour. Sébastien -- Sébastien Dinot, http://sebastien.dinot.free.fr/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Bonjour,
Luc Novales a écrit :
> $ sudo rkhunter --propupd
Cette commande met à jour, sans vérification et de façon globale,
c'est très dangereux.
Pour ma part, lorsque rkhunter me signale que des exécutables sensibles
ont été mis à jour, je vérifie dans les logs d'APT que ces modifications
correspondent bien à des mises à jour de paquets officiels (à ce sujet,
apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité
des mises à jour, je lance la commande :
for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do
rkhunter --propupd $c
done
sinon, cela obligerait à le faire à la main à chaque mise à jour,
après vérification qu'aucun autre fichier n'a changé.
Un outil de scellement, qui signale la mise à jour des exécutables et
d'autres fichiers sensibles, ne doit justement pas actualiser sa base
automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la
légitimité des mises à jour.
Alors certes, cette vérification manuelle est pénible à concilier avec
une mise à jour automatique et fréquente du système (mise à jour qui
a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on
veut le beurre et l'argent du beurre, c'est le prix à payer.
Et c'est pour cela que j'utilise rkhunter, outil qui procède à un
scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés
à des machines extrêmement durcies qui, une fois configurées, ne
devraient qu'être exceptionnellement mises à jour.
Sébastien
--
Sébastien Dinot, sebastien.dinot@free.fr
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Cette commande met à jour, sans vérification et de façon globale, c'est très dangereux.
Pour ma part, lorsque rkhunter me signale que des exécutables sensibles ont été mis à jour, je vérifie dans les logs d'APT que ces modifications correspondent bien à des mises à jour de paquets officiels (à ce sujet, apt-file est d'une grande aide). Une fois que j'ai vérifié la légitimité des mises à jour, je lance la commande : for c in /usr/bin/a /usr/bin/b /sbin/c /usr/sbin/d ; do rkhunter --propupd $c done
sinon, cela obligerait à le faire à la main à chaque mise à jour, après vérification qu'aucun autre fichier n'a changé.
Un outil de scellement, qui signale la mise à jour des exécutables et d'autres fichiers sensibles, ne doit justement pas actualiser sa base automatiquement. Il incombe au contraire à l'admin. sys. de vérifier la légitimité des mises à jour. Alors certes, cette vérification manuelle est pénible à concilier avec une mise à jour automatique et fréquente du système (mise à jour qui a potentiellement lieu toutes les 4 heures sur mes serveurs) mais si on veut le beurre et l'argent du beurre, c'est le prix à payer. Et c'est pour cela que j'utilise rkhunter, outil qui procède à un scellement ciblé, et non Tripwire ou AIDE, qui me semblent plus destinés à des machines extrêmement durcies qui, une fois configurées, ne devraient qu'être exceptionnellement mises à jour. Sébastien -- Sébastien Dinot, http://sebastien.dinot.free.fr/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
