Re: systraq / filetraq dep
Op 13-05-15 om 21:28 schreef Joost van Baal-Ilić:
Hoi Tim,
Hi Joost,
Meelezers: Tim heeft vragen over mijn tooltje
https://packages.debian.org/systraq : "monitor your system and warn when system
files change".
On Wed, May 13, 2015 at 07:19:13PM +0200, Tim Kuijsten wrote:
is het misschien een idee om (f)mtree uit de freebsd-glue package te
gebruiken ipv filetraq?
Dat zou kunnen, ik noem mtree ook in de systraq manual (
http://mdcc.cx/pub/systraq/systraq-latest/doc/manual.html ). Ik heb filetraq
gekozen omdat dat een shell script is; mtree wordt van C code gebouwd. Ik
geloof dat mtree niet out of the box compileert op GNU/Linux. Het is iig
niet gepackaged voor Debian.
https://packages.debian.org/jessie/freebsd-glue vandaar mijn suggestie
Maar: be my guest om systraq met mtree te combineren!
o.a. vanwege het feit dat in de manual van systraq het volgende staat:
"Jeremy runs it as root, I believe. I want to avoid that as much as
possible.". Dat vervolgens systraq filetraq als dep heeft en dus ook
standaard filetraq elke 5 minuten als root wordt gedraaid was me pas
duidelijk na een extra inspectie.
Als je van wijzigingen op de hoogte wilt worden gehouden van bestanden die
alleen door root leesbaar zijn, dan zul je filetraq als root moeten draaien.
Je kunt er ook voor kiezen om filetraq helemaal niet te draaien; of je kunt t
onder een andere user draaien (ikzelf heb dat nooit geprobeerd overigens).
Ik zelf ben m'n setup poging onder Ubuntu
Gebruik je systraq 0.0.20081217-7?
yes, http://packages.ubuntu.com/trusty/systraq
gestaakt omdat een simpele
`find /etc -type f > /etc/systraq/filetraq.conf` me wat rare errors
gaf
Welke errors gaf dat? Niet de errors die je hieronder weergeeft geloof ik.
Jawel, maar was idd als normale user of root, not sure. tnx voor de `su
-s /bin/bash debian-systraq` tip.
Wat betreft: "Nog iets: als je systraq installeert, en verder niks
configureert, dan krijg je iedere nacht een melding van cron in je
mailbox, met instructies over hoe het te configureren. Heb je _die_
instructies opgevolgd?"
Die mail had ik gezien idd, de half uurlijkse variant daarvan iig. En
dat + manual heb ik gevolgd. Alleen dat verzameling van de file list had
ik waarschijnlijk iets secuurder moeten doen om die permission denied
errors te voorkomen (ik dacht eigenlijk aan verkeerde filenames).
Tnx voor de support. Voor nu ben ik echter gegaan voor een combinatie
van logwatch + mtree uit de eerder genoemde freebsd-glue package.
-Tim
--
(+ het feit dat er nog redelijk wat manuele stappen gemaakt
moeten worden na installatie, waardoor ik sowieso enigzins onzeker
ben of het wel compleet is):
Creating first backup of /etc/apparmor.d/cache/sbin.dhclient.
cp: cannot open ‘/etc/apparmor.d/cache/sbin.dhclient’ for
reading: Permission denied
Creating first backup of /etc/apparmor.d/cache/usr.sbin.mysqld.
cp: cannot open ‘/etc/apparmor.d/cache/usr.sbin.mysqld’ for
reading: Permission denied
Creating first backup of /etc/at.deny.
etc...
Het lijkt erop dat er bestanden in /etc/systraq/filetraq.conf genoemd worden
die niet wereld-leesbaar zijn. Dat is niet de gedocumenteerde manier; je moet
iets als dit doen:
# su -s /bin/bash debian-systraq
$ find /etc -type f > /tmp/filetraq.conf
$ exit
# mv /tmp/filetraq.conf /etc/systraq/
en dit was nadat ik de initiele backup zoals voorgesteld in de
systraq manual al had gemaakt.
OK. Het initiele opzetten van de systraq data is inderdaad nogal wat handwerk.
Ik heb dat niet helemaal geautomatiseerd; ook om het systeem flexibel te
houden.
Happy hacking, Groeten,
Joost
PS: ik ben niet subscribed op deze lijst, honoreer Mail-Followup-To aub en
stuur antwoorden ook naar mij.
Reply to: