[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Wo kann man " " abstellen?

On 05/05/2015 09:57 PM, Frank Dietrich wrote:
> Uwe Kleine-König <uwe+debian@kleine-koenig.org> wrote:
>> On 05/05/2015 02:38 AM, Manfred Schmitt wrote:
>>> Z.B. pstree -a oder die Baumansicht in htop koennte dann
>>> vielleicht auch hilfreich sein.
>> Oder wenn das nicht hilft, weil der Prozess, der apt startet kein
>> Elternteil mehr ist:
>>
>> 	http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
> 
> Danke für den Link. Laut Paketbeschreibung ist das aber nur für den
> 2.6 Kernelzweig.
Der Unterschied zwischen 2.6.x und 3.x ist nur in der Nummer. siehe
https://lkml.org/lkml/2011/5/29/204. Gleiches gilt für 4.0.
Das heißt, alles was auf 2.6 geht und sich nicht von der geänderten
Versionsnummer irritieren lässt (was leider eine nicht unerhebliche
Einschränkung ist) sollte auch auf 3.x und 4.x funktionieren.

> Wie könnte dieses Audit in diesem Fall helfen? Welche Datei sollte ich
> da überwachen? Ich kann ja nicht das http Binary überwachen, die
> ändert sich ja nicht.
Etwa:

	auditctl -p x -w /usr/lib/apt/methods/http -k boesesautoapt

Wenn Du zusiehst, dass das früh beim Booten aufgerufen wird, solltest Du
den Prozess, der das startet beim nächsten Mal überführen können.

>> Frank: Welches Desktopenvironment verwendest Du?
> 
> Gnome.
Dann zählt gnome-packagekit zum Kreise der Verdächtigen.

Liebe Grüße
Uwe
Reply to: