Re: Wo kann man "/usr/lib/apt/methods/http" abstellen?

To: debian-user-german@lists.debian.org
Subject: Re: Wo kann man "/usr/lib/apt/methods/http" abstellen?
From: Frank Dietrich <bits_n_bytes@gmx.de>
Date: Fri, 15 May 2015 20:37:48 +0200
Message-id: <[🔎] 20150515203748.58b2f457.bits_n_bytes@gmx.de>
In-reply-to: <[🔎] 554B06BA.2050804@kleine-koenig.org>
References: <[🔎] 20150503211114.3b204a48.bits_n_bytes@gmx.de> <[🔎] 20150504041147.4195ddc1.expires-150630@slashproc.org> <[🔎] 20150504232522.6fa52c82.bits_n_bytes@gmx.de> <[🔎] 20150505023850.40e7b5ea.expires-150630@slashproc.org> <[🔎] 554862C3.3000408@kleine-koenig.org> <[🔎] 20150505215751.67f54293.bits_n_bytes@gmx.de> <[🔎] 554B06BA.2050804@kleine-koenig.org>

Hallo Uwe,

Uwe Kleine-König <uwe+debian@kleine-koenig.org> wrote:
>> Wie könnte dieses Audit in diesem Fall helfen? Welche Datei sollte
>> ich da überwachen? Ich kann ja nicht das http Binary überwachen,
>> die ändert sich ja nicht.
>Etwa:
>
>	auditctl -p x -w /usr/lib/apt/methods/http -k boesesautoapt
>
>Wenn Du zusiehst, dass das früh beim Booten aufgerufen wird,
>solltest Du den Prozess, der das startet beim nächsten Mal
>überführen können.

Habe in der Datei /etc/audit.audit.rules folgende Zeile hinzugefügt

  -w /usr/lib/apt/methods/http -p x -k autorun-http

Was auch funktioniert. Wenn ich als User /usr/lib/apt/methods/http
ausführe, dann finde ich den Logeintrag mittels

   ausearch -k autorun-http

Früh genug sollte es auch starten, da der Prozess ja nicht permanent
in der Prozessliste auftaucht, eher sporadisch.

Grüße
Frank
--

Reply to:

References:
- Wo kann man "/usr/lib/apt/methods/http" abstellen?
  - From: Frank Dietrich <bits_n_bytes@gmx.de>
- Re: Wo kann man "/usr/lib/apt/methods/http" abstellen?
  - From: Manfred Schmitt <expires-150630@slashproc.org>
- Re: Wo kann man " " abstellen?
  - From: Frank Dietrich <bits_n_bytes@gmx.de>
- Re: Wo kann man " " abstellen?
  - From: Manfred Schmitt <expires-150630@slashproc.org>
- Re: Wo kann man " " abstellen?
  - From: Uwe Kleine-König <uwe+debian@kleine-koenig.org>
- Re: Wo kann man " " abstellen?
  - From: Frank Dietrich <bits_n_bytes@gmx.de>
- Re: Wo kann man " " abstellen?
  - From: Uwe Kleine-König <uwe+debian@kleine-koenig.org>

Prev by Date: Re: Wo kann man " " abstellen?
Next by Date: Re: Wo kann man "/usr/lib/apt/methods/http" abstellen?
Previous by thread: Re: Wo kann man " " abstellen?
Next by thread: Re: Wo kann man " " abstellen?
Index(es):
- Date
- Thread