Pourquoi debsums
Afin de se rappeler quels fichiers ont été changés et aussi pour la sécurité, debsums est installé sur les machines virtuelles (openvz ou lxc), mais la manipulation peut aussi être interressante sur une machine simple.
Un lancement par cron vérifie les modifications "intempestives" alors qu'un lancement classique en ligne de commande permet de trouver les fichiers modifiés. Cela permet non seulement de surveiller la machine mais aussi de retrouver les fichiers qu'on a soit même modifiés sur la machine.
Installation
aptitude install debsums
Configuration
Mise en place du cron et ajouts des fichiers à ignorer par debsums dans /etc/debsums-ignore
for i in $(vzlist -aH -o ctd)
do
sed -i "s/^CRON_CHECK=.*$/CRON_CHECK=daily/" /vz/private/$i/etc/default/debsums
echo "/usr/bin/rkhunter" > /vz/private/$i/etc/debsums-ignore
done
Un mail sera envoyé en cas de changement d'un fichier.
La modification debsums-ignore n'est valable que pour le lancement par cron et ne masque pas les changements lors d'un lancement de debsums en ligne de commande. Il faudra au cas par cas remplir les /etc/debsums-ignore en fonction des bidouilles faite sur chaque machine.