Debian-facile

sylvain_78

Membre

Lieu : Nouvelle Aquitaine

Distrib. : Bookworm

Noyau : Linux 6.1.0-13-amd64

(G)UI : KDE plasma

Inscription : 31-10-2017

Tripwire : changements sur mes fichiers que je ne comprends pas

Bonjour,

J'ai activité mon mode PARANO à fond en lisant ce matin mon rapport Tripwire.
Je n'y ai sans doute pas fait attention avant, mais bon...

J'ai un tas de fichiers qui ont été modifiés dans /bin, /sbin, /usr/bin, ...

Dans le détail, certains fichiers, comme exim4, ont bien été modifiés "régulièrement" suite à une mise à jour. Donc RAS, même si la MAJ remonte au 1er janvier...
Mais d'autres fichiers n'ont qu'un changement d'inode. Pas de changement de taille, de date de modification ou encore de MD5.

J'ai passé un bon coup de clamav là-dessus sans résultat.

Dans quelles condition puis-je avoir ce type de modifications ?

sylvain_78

Membre

Lieu : Nouvelle Aquitaine

Distrib. : Bookworm

Noyau : Linux 6.1.0-13-amd64

(G)UI : KDE plasma

Inscription : 31-10-2017

Re : Tripwire : changements sur mes fichiers que je ne comprends pas

Sur une indication d'un proche, se pourrait-il que le problème de changement d'inode soit lié à l'utilisation d'un SSD assez ancien (10 ans) ? Les fichiers concernés semblent être dessus.

sylvain_78

Membre

Lieu : Nouvelle Aquitaine

Distrib. : Bookworm

Noyau : Linux 6.1.0-13-amd64

(G)UI : KDE plasma

Inscription : 31-10-2017

Re : Tripwire : changements sur mes fichiers que je ne comprends pas

Finalement j'ai compris ce qu'il se passe après avoir passé mon après-midi à examiner d'un peu plus près mes log Tripwire et les avoir confrontés à l'historique des MAJ du système.

Les fichiers dont seul l'inode et la date de modification ont changé faisaient simplement partie de paquets mis à jour. Par exemple, pour le paquet "exim4-daemon-light" tous les fichiers du paquet ont été copiés sur le disque, mais seul le fichier "exim4" a été modifié, comme le montre un changement de son MD5.

Concernant la modification de fichiers dans les répertoires /bin et /sbin, désolé mais je n'ai pas pu retrouver leur trace dans les log... J'ai du rêver...

Au final, je me demande s'il est pertinent pour un simple particulier comme moi d'utiliser des outils aussi lourds, sachant que je ne saurais probablement pas reconnaître un problème s'il y en avait un, sauf à y passer tout mon temps, ce qui n'a pas de sens.

Sans doute aussi ai-je mal configuré Tripwire. Auquel cas je suis preneur d'avis.

Pour me rassurer j'ai passé mon disque au rayon "clamav". Il y avait a priori quelques trucs dans mes anciens fichiers utilisés quand j'étais sous Windows. Curieusement, des fichiers macro Libreoffice ont aussi fait râler le scanner. Très probablement des faux positifs, mais supprimés tout de même.