[gull] history modification

Marc SCHAEFER schaefer at alphanet.ch
Wed May 17 16:17:03 CEST 2006 

On Wed, May 17, 2006 at 11:34:28AM +0200, Cedric BRINER wrote:
> un systeme de production qui tournait pico bello ne fonctionne plus. Le systeme tourne encore
> mais c'est juste un programme perl qui fait des siennes.

détails ?

[ ... ]

>  - j'ai regarde si des modifications dans /usr on eu lieu dans les deux derniers jours
> find /usr -mtime -2
>     ..
>     1990268    4 drwxr-xr-x   3 root     root         4096 May 15 10:26 /usr/lib/perl
>     ..
>     1990329    4 drwxr-xr-x   3 root     root         4096 May 15 10:26 /usr/share/perl
>     ..
>  - puis j'ai eu l'impression que qqun a fait un apt-get update|dist-upgrade

Si c'est Debian stable, je n'ai pas vu passer de mises à jour
importantes de Perl récemment. Il y en a certes eu il y a quelques mois,
tu les as d'ailleurs trouvées sur security.debian.org

Il faudrait aussi voir si quelqu'un a installé des modules Perl via CPAN
plutôt que via package.

Tu peux aussi:
   - comparer des sauvegardes (p.ex. tar --compare)
   - comparer les md5sum des fichiers des packages (debsums)

>  - de connaitre l'historique de l'installation des paquet

malheureusement cette fonctionnalité n'est pas disponible en sarge si
l'on passe par dpkg ou apt-get.

On pourrait imaginer faire un

   dpkg-divert /usr/bin/apt-get  # créer une diversion d'un fichier installé
                                 # (garantit les mises à jour sans
                                 #  écrasement)

   mv /usr/bin/apt-get /usr/bin/apt-get.distrib

   cat > /usr/bin/apt-get <<EOF
#! /bin/sh

echo >> /var/log/apt-get.log "`date` $@"

exec /usr/bin/apt-get.distrib "$@"
EOF

   chmod a+rx /usr/bin/apt-get

voire carrément dpkg.

Alternativement mettre en place de l'audit général du système:

   shakotay:/home/schaefer# lastcomm|grep apt
   apt-get               X root     ??         1.05 secs Wed May 17 16:02
   apt-get                 root     ??         1.10 secs Wed May 17 16:02
   apt-cache               root     ??         0.01 secs Wed May 17 16:01
   apt-cache               schaefer ??         0.01 secs Wed May 17 16:01
   apt-cache               schaefer ??         0.02 secs Wed May 17 16:01

mais par défaut le SYSV pacct n'enregistre pas les arguments.

>  - de faire un ``downgrade'' des paquets perl ?

Tu installes simplement avec dpkg -i le package et toutes ses
dépendances. Note que Debian ne supporte pas cependant des downgrades
dans sa philosophie de base, à moins que cela ait changé récemment.

On peut aussi le faire automatiquement avec apt-get:

   # dpkg -s perl | grep Version
   Version: 5.8.4-8sarge4
   # apt-cache show perl | grep Version
   Version: 5.8.4-8sarge4
   Version: 5.8.4-8sarge3
   Version: 5.8.4-8

   # apt-get install perl=5.8.4-8sarge3 perl-base=5.8.4-8sarge3
   [ ... ]
   Suggested packages:
     libterm-readline-gnu-perl libterm-readline-perl-perl
   The following packages will be REMOVED:
     eperl inn2 irssi-text libapache-dbi-perl libapache-mod-perl
     libapache-request-perl libperl-dev libperl5.8 perl-suid
   request-tracker3
     rtfm wml
   The following packages will be DOWNGRADED:
     perl perl-base
   
je pense que tu dois encore spécifier les versions exactes pour les
packages qui sont REMOVED, voire les mettre en hold le temps de faire la
magouille.
     
Mais bon, je en vois pas ce qui pourrait poser problème dans le package
perl 5.8.4-8sarge4.  A mon avis le problème est ailleurs.

En regardant rapidement sur http://bugs.debian.org/perl pour ce qui
concerne 5.8.4-8sarge4:

   http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=365125
      bug concernant les fontes en tk

   http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=359082
      pas un bug, indique de faire restart de apache

More information about the gull mailing list