Как я могу найти данные об установке последнего установленного исправления безопасности?
В качестве первого шага я бы использовал inotifywait.
Предполагается, что это система Debian, если нет, вы можете перенести эквивалентные команды на свою систему.
Установите inotify-tools:
apt-get install inotify-tools -y
Запустите inotifywait на / и отслеживайте все доступы в течение ночи. Вот что я обычно использую:
echo 10000 > /proc/sys/fs/inotify/max_user_watches
inotifywait -mr / -e access -e create -e modify -e delete -e moved_to -e moved_from --format %w:%f:%e:%T --timefmt %F:%T >> /root/system.inotify.log &
Проверьте журналы на следующий день, чтобы понять, что произошло.
Даже если удаленная система скопирует сценарий локально, выполнит его, а затем удалит, вы все равно увидите его там. Что бы вы там ни увидели, вы поймете, что происходит, так как это будет улавливать все на базовом уровне.
Он не уязвим для условий гонки или если скрипт удаляет исходный файл очень быстро, так как он подключается к интерфейсу Linux inotify, поэтому никакие действия не будут пропущены.
Сообщите нам, что вы нашли, мне интересно узнать.
В RHEL вы можете перечислить все установленные обновления безопасности, используя yum :
yum updateinfo list security installed
Здесь обновления перечислены в алфавитном порядке для их сортировки исходя из их рекомендательного номера, вы должны использовать:
yum updateinfo list security installed | sort
(См. Можно ли ограничить yum, чтобы он отображал или устанавливал только обновления безопасности? для получения дополнительной информации о yum плагин безопасности.)
Однако это не дает вам дат. Если в остальном вас устраивает вывод команды rpm -qa --last , вы можете сопоставить их с помощью некоторого конвейера:
grep "$(yum updateinfo list security installed | \
tail -n +3 | head -n -1 | awk '{ print $3 }')" <(rpm -qa --last)
По сути, вы ищете имена пакетов из приведенного выше вывода yum в выводе этой команды rpm . (Команды tail и head просто помогают избавиться от нежелательного вывода из yum .)
Я также хотел добавить к вопросу решение, которое я нашел для Debian (не фильтрует по безопасности, но, по крайней мере, вы получаете дату последнего обновления):
is_debian=$(cat /proc/version | grep -i Debian | wc -l) && if [ "$is_debian" -eq 1 ]; then last_update=$([ -s /var/log/dpkg.log ] && tail -n 1 /var/log/dpkg.log || tail -n 1 /var/log/dpkg.log.1 | awk '{ print $1 }' ) && echo $last_update; fi ;