だからrkhunterは私に次の警告を表示しました(ログファイルから)。これ(これは偽肯定のようです):
passwdファイルの変更を確認中に[警告]
警告:ユーザー「logcheck」がpasswdファイルに追加されました。情報:グループファイルの変更を確認する「group_changes」名のテスト開始
[警告]
警告:グループ「adm」のグループファイルに変更が見つかりました。 '
logcheck'ユーザーが
グループに追加されました。警告: 'logcheck'グループがグループファイルに追加されました。 。隠しファイルとディレクトリを確認する[警告]
警告:隠しディレクトリが見つかりました:/etc/.java
私のコンピュータの一つから。
もう一つは私に警告を示しました。
パスワードファイルが変更されたことを確認する[警告]
警告:パスワードファイルに 'clamav'ユーザーが追加されました。
警告:パスワードファイルに「geoclue」ユーザーが追加されました。
グループファイルが変更されたことを確認する[警告]
警告:「clamav」グループがファイルのグループに追加されました。
警告:「geoclue」グループがグループファイルに追加されました。
これらの警告は、私が行った最後の以前のチェックとパッケージの更新(openjdeなど)とパッケージのインストール(clamtk)によって引き起こされたようです。
logcheckをインストールしたことを覚えておらず、アプリの「required by」の下に何も表示されないため、geoclueとlogcheckについてはわかりません。
パッケージがいつインストールされ更新されたか、誰がインストールしたかを表示する方法はありますか?
パッケージの更新と新しいインストールを新しいインストールまたは更新の前にいくつかの特定の検索/更新などを自動化するなど、rkhunter以外の他のツール(また?)と組み合わせる必要がありますか?
パッケージの更新と新規インストールを説明する方法、ツール、またはベストプラクティスはありますか?
私は最近、KDEと一緒にインストールされたDebian 9.1を実行しています。
答え1
/var/log/apt/history.log*apt変更を要求したユーザーのユーザー名を含むすべてのアクティビティのログを含めます(直接使用するのでsudoはなく、これを使用する場合にのみ便利ですroot)。
すでに持っているはいrkhunteraptあなたのシステムでの間の一種の統合を確認してください/etc/apt/apt.conf.d/90rkhunter。この機能を有効にするには、にAPT_AUTOGEN変更する必要があります。/etc/default/rkhuntertrue
インストール前またはインストール後にジョブを直接追加することもできます。例えばインストールする前にスキャンを実行してください...
質問の「ベストプラクティス」の部分は、この場所に比べて広すぎます。最終的に、一部の人は、すべての変更について独自のログを提供するAnsibleなどのツールを使用してのみシステムを変更する必要があると主張しています。