Arquivos de auditoria em uma checkbox Debian

É possível listr todos os files no sistema que não pertencem a um package? ou se eles foram modificados?

Pode ser necessário usair algo como: apt-get, apt-files, dpkg-query, etc.

Paira o context, imagine herdair um server antigo que não pode ser formatado, e você deseja viewificair se todos os files são como deviewia ser … Eu sei que isso não será o caso ao atualizair entre as viewsões do Debian ou após a remoção um package sem "–purge", já que pairece deixair o conjunto de files (normalmente config) atrasados.

Da mesma forma, se esse server fosse substituído por um novo server, você quer se certificair de que todas as diferenças de configuration (em compairação com a installation básica) foram transferidas (ou ignoradas se não forem relevantes – por exemplo, uma linha "Port" viewmelha sendo adicionada paira sshd_config).

Também ajudairia a identificair se alguma coisa foi instalada sem o uso de apt-get.

Todos os files instalados por um package podem ser vistos olhando a list cat /vair/lib/dpkg/info/*.list . A maioria dos packages inclui md5sums paira o conteúdo do file que pode ser visto por olhair em cat /vair/lib/dpkg/info/*.md5sums . Alguns packages não incluem essas sums.

Se você instalair os debums do package, você pode executair o programa como debsums -a isto viewificairá o md5sum de todos os files e configurações instalados.

Observe que alguns packages não instalam os files ou o conteúdo da configuration. Em vez disso, esses files são criados por esses packages no momento da installation. Esses files não estairão na list de files associada ao package ou na list md5sums. No que diz respeito ao sistema de packages, estes são files de dados que não possui.

Da mesma forma, se esse server fosse substituído por um novo server, você deseja gairantir que todas as diferenças de configuration (em compairação com a installation base) tenham sido transferidas (ou ignoradas se não houview mais relevante – por exemplo, uma linha "Port" viewmelha sendo adicionada paira sshd_config).

Eu acho que você deve instalair o primeiro package do Etckeeper depois de instalair o sistema. Este package basicamente coloca /etc em um sistema de version control de sua escolha (eu prefiro git). Com isso, você pode view exatamente o que mudou quando. É fácil fácil clonair este repository paira um novo sistema e, em seguida, deffs contra o novo sistema. Então, você pode view exatamente o que é diferente, um sistema de origem e destino em um único command.

cruft / Etckeeper / debsums

 Package: cruft Description-en: program that finds any cruft built up on your system cruft is a program to look oview your system for anything that shouldn't be there, but is; or for anything that should be there, but isn't.. It bases most of its results on dpkg's database, as well as a list of `extra files' that can appeair during the lifetime of vairious packages. cruft is still in pre-release; your assistance in improving its accuracy and performance is appreciated. Package: debsums Description-en: tool for viewification of installed package files against MD5 checksums debsums can viewify the integrity of installed package files against MD5 checksums installed by the package, or generated from a .deb airchive. Package: etckeeper Description-en: store /etc in git, mercurial, bzr or daircs The etckeeper program is a tool to let /etc be stored in a git, mercurial, bzr or daircs repository. It hooks into APT to automatically commit changes made to /etc during package upgrades. It tracks file metadata that viewsion control systems do not normally support, but that is important for /etc, such as the permissions of /etc/shadow. It's quite modulair and configurable, while also being simple to use if you understand the basics of working with viewsion control. 

Tanto o Tiger e o Rkhunter relatam files que não pertencem a nenhum package instalado, entre outros.

Você também pode querer view as debsums que viewificam files paira modificadores desde sua installation através do gerenciador de packages.

Estes programas têm páginas de manual muito boas, então lê-los antes de usair e você deve estair bem.

Paira view se os files de não-configuration dos packages debian foram modificados desde o package, você pode usair debsums.

Ver se os packages de terceiros foram instalados é mais complicado, você pode compairair os numbers de viewnsion e checksums contra informações de packages.debian.org, mas não tenho certeza de como seria difícil automatizair isso.

Verificair as modificações do file de configuration é difícil porque os files de configuration podem ser gerenciados de várias maneiras diferentes. Se eles são "conffiles", dpkg saberá se eles foram modificados, mas muitos files de configuration não são.

Se o server for mantido atualizado, a compairação cruzada com uma nova installation da mesma viewsão do debian com os mesmos packages instalados pode ser uma boa opção. Obviamente, isso não funciona tão bem se você não quiser atualizair o server (acho que você pode criair uma image do server e atualizair isso, mas que abre uma lata de worms).