Checkier l'integrite de la distribution

CSCMEU · 15/06/2003 17:55:30

Bonjours ,

Un de mes copain a subit une defaillance hardware sur un de ces serveurs de prod.
Lors du reboot, fsck a effacer/modifier automatiquement plusieurs fichiers sur sont systeme de fichier ext2fs. (pas taper ). Apres ce reboot, le serveur avait un comportement extrement bizar : iptables qui filtre mal les packets, le serveur de mail qui n'arrive pas a envoyer des messages etc ...
Vous avons donc deduit que le fsck avez effacer/modifier des fichier sensibles : glibc, libnss ou iptables.
Je cherche donc a verifier l'integrite de ces programmes/fichier. Existe t'il un systeme specifique a debian?
Comme par exemple un apt-get md5-checksum
Ou bien il faut utiliser un programme exterieur (trop tard dans son cas)

Merci pour votre aide.

ptitlouis · 15/06/2003 18:32:43

Je ne suis pas sûr de ce que tu recherches mais si c'est un outils pour vérifier les l'intégrité des paquets installés tu as l'utilitaire debsums pour ça.
ATTENTION : il faut rediriger la sortie vers un fichier pour regarder tranquillement les paquets qu'il faut réinstaller.

CSCMEU · 16/06/2003 10:04:49

Je ne suis pas sûr de ce que tu recherches mais si c'est un outils pour vérifier les l'intégrité des paquets installés tu as l'utilitaire debsums pour ça.

Exactement ce que je chercher Merci ptitlouis
On as retouver les fichier abimer par le fsck.
C'est plus fort que la poudre rouge d'IBM qui repare les serveurs automatiquement.
Mais je me pose quelques question encore sur ce prog :
- visiblement tout les fichiers ne sont pas pris en compte :

debsums: no md5sums for bsdutils
...
debsums: no md5sums for bzip2
...
etc

Le gros pbl c'est k'il ne trouve pas les md5sum pour
des fichiers tres important. Ceux qui sont principalement utiliser dans les rootkits.
Ca viens du fait ke je suis en unstable ou bien c'est normal?

Merci

miky · 25/06/2003 21:21:49

Ce que tu recherche est probablement Tripwire ou Aide, ce dernier est généralement conseillé.

Tu installes ton systeme, tu fais une empreinte sur tout ou partie du systeme. Tu mets ton empreinte propre a l'abri.
En cas de doute tu compares l'empreinte propre a l'empreinte actuelle du systeme et tu vois les changements.

Lien :
http://www.cs.tut.fi/~rammer/aide.html

(fais partie des packages debian)

++

RastaTux · 20/12/2003 16:21:10

pour detecter les rootkit y'a différent programme :
- http://www.chkrootkit.org/
- http://tsd.student.utwente.nl/skdetect/

et aussi http://www.rootkit.nl/projects/rootkit_hunter.html que j'ai pas encore tester.

sinon j'ai aussi des fichiers sans les md5sums
mais aparament pas de rootkit instalé

RastaTux · 20/12/2003 17:34:23

rootkit_hunter est très bien aussi

action09 · 17/01/2004 02:22:06

Je viens de lancer rootkit_hunter et j'avais au préalable essayé je dis bien "essayé" de compiler un 2.6.1 sur ma woody sans succès.Heureusement qqn m'a aidé eninstallant la bonne version de module-init-tools. et en enlevant des extensions de binaires "corrompus" lors de la désinstallation ( neuneu ) de modutils
Bref maintenant en lançant rootkit_hunter évidemment il ne trouve pas les bonnes MD5 sur ces fameux binaires.. :

/sbin/insmod [ BAD ]
/sbin/lsmod [ BAD ]
/sbin/modinfo [ BAD ]
/sbin/modprobe [ BAD ]
/sbin/rmmod [ BAD ]

sauriez vous svp comment les récupérer et donc éviter ce message ?

Merci

Andesi - forum

#1 15/06/2003 17:55:30

Checkier l'integrite de la distribution

#2 15/06/2003 18:32:43

Re : Checkier l'integrite de la distribution

#3 16/06/2003 10:04:49

Re : Checkier l'integrite de la distribution

#4 25/06/2003 21:21:49

Re : Checkier l'integrite de la distribution

#5 20/12/2003 16:21:10

Re : Checkier l'integrite de la distribution

#6 20/12/2003 17:34:23

Re : Checkier l'integrite de la distribution

#7 17/01/2004 02:22:06

Re : Checkier l'integrite de la distribution

Pied de page des forums