.png)
그래서 rkhunter는 나에게 다음과 같은 경고를 표시했습니다(로그 파일에서).이것(이것은 거짓 긍정인 것 같습니다):
passwd 파일의 변경 사항을 확인하는 중 [경고]
경고: 'logcheck' 사용자가 passwd 파일에 추가되었습니다.정보: 그룹 파일 변경 사항을 확인하는 'group_changes' 이름에 대한 테스트 시작
[경고]
경고: 'adm' 그룹의 그룹 파일에서 변경 사항이 발견되었습니다. '
logcheck' 사용자가
그룹에 추가되었습니다. 경고: 'logcheck' 그룹이 그룹 파일에 추가되었습니다. .숨겨진 파일 및 디렉터리 확인 [경고]
경고: 숨겨진 디렉터리 발견: /etc/.java
내 컴퓨터 중 하나에서.
또 다른 하나도 나에게 경고를 보여주었습니다.
비밀번호 파일이 변경되었는지 확인하기 [경고]
경고: 비밀번호 파일에 'clamav' 사용자가 추가되었습니다.
경고: 비밀번호 파일에 'geoclue' 사용자가 추가되었습니다.
그룹 파일이 변경되었는지 확인하기 [경고]
경고: 'clamav' 그룹이 파일의 그룹에 추가되었습니다.
경고: 'geoclue' 그룹이 그룹 파일에 추가되었습니다.
이러한 경고는 제가 수행한 마지막 이전 검사와 패키지 업데이트(예: openjde) 및 패키지 설치(clamtk)로 인해 발생한 것 같습니다.
logcheck를 설치한 기억이 없고 앱의 "required by" 아래에 아무 것도 표시되지 않기 때문에 geoclue 및 logcheck에 대해 잘 모르겠습니다.
패키지가 언제 설치되고 업데이트되었는지, 누가 설치했는지 표시할 수 있는 방법이 있습니까?
패키지 업데이트 및 새 설치를 새 설치 또는 업데이트 전에 일부 특정 검색/업데이트 등을 자동화하는 등 rkhunter 이외의 다른 도구(또한?)와 결합해야 합니까?
패키지 업데이트 및 신규 설치를 설명하는 방법, 도구 또는 모범 사례가 있습니까?
저는 최근에 KDE와 함께 설치된 Debian 9.1을 실행하고 있습니다.
답변1
/var/log/apt/history.log*apt변경을 요청한 사용자의 사용자 이름을 포함하여 모든 활동에 대한 로그를 포함합니다 (직접 사용하는 sudo것이 아니라 이것을 사용하는 경우에만 유용함 root).
이미 가지고 있다예rkhunterapt귀하의 시스템에서 와 사이의 일종의 통합을 확인하십시오 /etc/apt/apt.conf.d/90rkhunter. 이 기능을 활성화하려면 APT_AUTOGEN으로 변경해야 합니다./etc/default/rkhuntertrue
또한 설치 전 또는 설치 후 작업을 직접 추가할 수도 있습니다.예를 들어설치하기 전에 검사를 실행하세요...
질문의 "모범 사례" 부분이 이 장소에 비해 너무 광범위합니다. 궁극적으로 어떤 사람들은 모든 변경 사항에 대한 자체 로그를 제공하는 Ansible과 같은 도구를 사용해서만 시스템을 변경해야 한다고 주장합니다.