[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: systraq / filetraq dep



Hoi Tim,

Meelezers: Tim heeft vragen over mijn tooltje
https://packages.debian.org/systraq : "monitor your system and warn when system
files change".

On Wed, May 13, 2015 at 07:19:13PM +0200, Tim Kuijsten wrote:
> is het misschien een idee om (f)mtree uit de freebsd-glue package te
> gebruiken ipv filetraq?

Dat zou kunnen, ik noem mtree ook in de systraq manual (
http://mdcc.cx/pub/systraq/systraq-latest/doc/manual.html ).  Ik heb filetraq
gekozen omdat dat een shell script is; mtree wordt van C code gebouwd.  Ik
geloof dat mtree niet out of the box compileert op GNU/Linux.  Het is iig
niet gepackaged voor Debian.

Maar: be my guest om systraq met mtree te combineren!

> o.a. vanwege het feit dat in de manual van systraq het volgende staat:
> "Jeremy runs it as root, I believe. I want to avoid that as much as
> possible.". Dat vervolgens systraq filetraq als dep heeft en dus ook
> standaard filetraq elke 5 minuten als root wordt gedraaid was me pas
> duidelijk na een extra inspectie.

Als je van wijzigingen op de hoogte wilt worden gehouden van bestanden die
alleen door root leesbaar zijn, dan zul je filetraq als root moeten draaien.
Je kunt er ook voor kiezen om filetraq helemaal niet te draaien; of je kunt t
onder een andere user draaien (ikzelf heb dat nooit geprobeerd overigens).

> Ik zelf ben m'n setup poging onder Ubuntu

Gebruik je systraq 0.0.20081217-7?

> gestaakt omdat een simpele
> `find /etc -type f > /etc/systraq/filetraq.conf` me wat rare errors
> gaf

Welke errors gaf dat?  Niet de errors die je hieronder weergeeft geloof ik.

> (+ het feit dat er nog redelijk wat manuele stappen gemaakt
> moeten worden na installatie, waardoor ik sowieso enigzins onzeker
> ben of het wel compleet is):
> 
> Creating first backup of /etc/apparmor.d/cache/sbin.dhclient.
> cp: cannot open ‘/etc/apparmor.d/cache/sbin.dhclient’ for
> reading: Permission denied
> Creating first backup of /etc/apparmor.d/cache/usr.sbin.mysqld.
> cp: cannot open ‘/etc/apparmor.d/cache/usr.sbin.mysqld’ for
> reading: Permission denied
> Creating first backup of /etc/at.deny.
> etc...

Het lijkt erop dat er bestanden in /etc/systraq/filetraq.conf genoemd worden
die niet wereld-leesbaar zijn.  Dat is niet de gedocumenteerde manier; je moet
iets als dit doen:

 # su -s /bin/bash debian-systraq
 $ find /etc -type f > /tmp/filetraq.conf
 $ exit
 # mv /tmp/filetraq.conf /etc/systraq/

> en dit was nadat ik de initiele backup zoals voorgesteld in de
> systraq manual al had gemaakt.

OK.  Het initiele opzetten van de systraq data is inderdaad nogal wat handwerk.
Ik heb dat niet helemaal geautomatiseerd; ook om het systeem flexibel te
houden.

Happy hacking, Groeten,

Joost

PS: ik ben niet subscribed op deze lijst, honoreer Mail-Followup-To aub en
stuur antwoorden ook naar mij.

-- 
rorate caeli desuper et nubes pluant justum --Isa 45:8
http://mdcc.cx/http://ad1810.com/

Attachment: signature.asc
Description: Digital signature


Reply to: