Получение списка файлов, измененных после обновления apt-get или intstall?
Обсуждение этого вопроса https://stackoverflow.com/questions/16880830/centos-5-8-with-gcc-4-4-7-links-against-libstdc-6-0-8-how -is-it-possible дал мне ключ к разрешению. Для RHEL5 существуют стандартные пакеты gcc44 и gcc44-c ++.
Такие инструменты, как AIDE и Tripwire, не очень полезны , потому что обнаруживают только не очень умные атаки. Если злоумышленник может получить root-права, ему не нужно беспокоиться об изменении системных двоичных файлов, или он может подделать данные для системы мониторинга, заразив ядро. Tripwire может быть полезен тем, что сообщает об изменениях, как только они происходят, прежде чем злоумышленник успеет стереть их следы; для этого требуется, чтобы журналы немедленно отправлялись на внешний компьютер, который остается надежным.
При этом, если вы хотите знать, какие разрешения изменяются в ходе выполнения apt-get , вы можете отслеживать системные вызовы, которые он выполняет. Прервите трассировку после запуска, так как это может быть отслеживающими демонами, которые (повторно) запускаются во время обновления.
strace -o apt.strace -e openat,write sh -c '
apt-get "$@"
kill $PPID
' apt-get-wrapper upgrade
Было бы дешевле использовать auditd , но проблема в том, как отфильтровать изменения, вызванные запуском APT. Я думаю, вы можете сделать это, запустив apt-get с другим UID аудита, что должно быть легко с оболочкой C; оставшаяся проблема будет заключаться в том, чтобы не запускать перезапущенные демоны в этом uid аудита, для которой у меня нет решения.
Упрощенный подход заключался бы в использовании find . Пример ниже предполагает, что вас интересуют только файлы, измененные в / и / var
touch /tmp/foo
apt get upgrade
find / /var -xdev -newer /tmp/foo -ls