所以 rkhunter 给了我这些警告(在日志文件中)这个(这似乎是误报):
检查 passwd 文件更改 [警告]
警告:用户“logcheck”已添加到 passwd 文件中信息:开始测试名称“group_changes”
检查组文件更改[警告]
警告:在组“adm”的组文件中发现更改:
用户“logcheck”已添加到组
警告:组“logcheck”已添加到组文件。检查隐藏文件和目录 [警告]
警告:发现隐藏目录:/etc/.java
在我的一台机器上。
另一个也向我展示了警告:
检查密码文件是否更改 [警告]
警告:用户“clamav”已添加到密码文件中
警告:用户“geoclue”已添加到密码文件中
检查组文件是否更改 [警告]
警告:组“clamav”已添加到组文件中
警告:组“geoclue”已添加到组文件中
我想这些警告是由于我进行最后一次较早的扫描时以及由于软件包更新(例如 openjde)和软件包安装(clamtk)所致?
我不确定 geoclue 和 logcheck,因为我不记得安装了 logcheck,并且它在 Apper 中的“required by”下没有显示任何内容。
有没有办法显示软件包的安装和更新时间以及由谁安装和更新?
软件包更新和新安装是否应该与 rkhunter 之外的其他工具(也?)结合使用,例如在新安装或更新之前自动执行一些特定的扫描/更新等?
是否有某种方法、工具或最佳实践来考虑软件包更新和新安装?
我正在运行最近安装的带有 KDE 的 Debian 9.1。
答案1
/var/log/apt/history.log*包含所有活动的日志apt,包括请求更改的用户的用户名(仅当您使用 时才有用sudo,而不是root直接使用)。
已经有是rkhunter和之间的某种整合apt;在您的系统上查看/etc/apt/apt.conf.d/90rkhunter。如果您希望启用该功能,则需要更改APT_AUTOGEN为./etc/default/rkhuntertrue
您还可以添加自己的安装前或安装后作业,例如在安装前运行扫描...
您问题的“最佳实践”部分对于这个场所来说太宽泛了。最终,有些人会认为您应该只使用 Ansible 等工具对系统进行更改,它提供自己的所有更改日志。