Re: Wo kann man "/usr/lib/apt/methods/http" abstellen?
Hallo Uwe,
Uwe Kleine-König <uwe+debian@kleine-koenig.org> wrote:
>> Wie könnte dieses Audit in diesem Fall helfen? Welche Datei sollte
>> ich da überwachen? Ich kann ja nicht das http Binary überwachen,
>> die ändert sich ja nicht.
>Etwa:
>
> auditctl -p x -w /usr/lib/apt/methods/http -k boesesautoapt
>
>Wenn Du zusiehst, dass das früh beim Booten aufgerufen wird,
>solltest Du den Prozess, der das startet beim nächsten Mal
>überführen können.
Habe in der Datei /etc/audit.audit.rules folgende Zeile hinzugefügt
-w /usr/lib/apt/methods/http -p x -k autorun-http
Was auch funktioniert. Wenn ich als User /usr/lib/apt/methods/http
ausführe, dann finde ich den Logeintrag mittels
ausearch -k autorun-http
Früh genug sollte es auch starten, da der Prozess ja nicht permanent
in der Prozessliste auftaucht, eher sporadisch.
Grüße
Frank
--
Reply to: