Voyez avant tout les outils

• de protection
• et d'observation

Ensuite, il y a de nombreux petits outils utiles dès le début:

• tree (liste des fichiers et dossier en arbre)
• apt-show-versions (montre les paquets installés, à utiliser avec un grep)

Si vous êtes sur un poste interactif (poste client), voilà quelques applications conseillées:

• meld (comparateur de fichiers)
• simplescreenrecorder (enregistrer des vidéos de son écran)

Sans meme trop savoir utiliser git, je conseille fortement un etckeeper (apt install etckeeper). Cet outil va versionner tout votre dossier /etc, ce qui est très une très bonne idée! Ainsi vous conserverez l'historique de vos modifications et pourrez faire marche arrière en cas d'erreur.

Il fait un commit journalier, mais il est plus utile de les faire explicitement à la main, pou y mettre des commentaires adéquats!

git status   # liste les changements
git add fichier1 ficher2...
git commit -m 'votre commentaire...'
git push origin

Exemple de git log:

commit c03ec0aea987854734777340d471f95643cc5f68 (HEAD -> master)
Author: root <root@tecrd.com>
Date:   Fri Feb 21 17:43:19 2020 +0100

    Added & configured rkhunter

commit cc58310624d6bcd30b4fe651385429d220c56de7
Author: root <root@tecrd.com>
Date:   Fri Feb 21 15:57:17 2020 +0100

    committing changes in /etc made by "apt install rkhunter"
    
    Package changes:
    +fonts-lato 2.0-2 all
    +rkhunter 1.4.6-5 all
    +ruby 1:2.5.1 amd64
    ...
    +unhide.rb 22-4 all
    +zip 3.0-11+b1 amd64

(...)

apt install rkhunter

FAQ en anglais

C'est un outil qui signe et qui vérifie les signatures des exécutables sur votre serveur. Cela permet de détecter les "rootkits", des ensembles logiciels que certains pirates tentent d'installer dès le moment où ils sont parvenus à "rentrer" sur votre serveur. Ce sont des boites à outils qui leur permettent de profiter de votre serveur à votre insu mais aussi de cacher la trace de leur activité afin de passer inaperçu.

Cet outil fonctionne

• en signant numériquement tous les fichiers sensibles et en vérifiant qu'ils n'ont pas été modifiés depuis la dernière vérification,
• en testant explicitement la présence de rootkits connus (76 à ce jour, tout de même!),
• en effectuant nombre d'autres tests, par exemple sur la configuration du réseau

Si vous modifiez votre système, vous aurez besoin de dire à rkhunter de mettre à jour sa base de donnée:

rkhunter --update

On peut lancer un scan manuellement avec

rkhunter --check

Le fichier /var/log/rkhunter.log donne davantage de détail, si par exemple il fait un warning sur la présence de fichiers cachés. En effet, si l'on a installé etckeeper, il trouvera par exemple assez logiquement:

[09:22:03]   Checking for hidden files and directories       [ Warning ]
[09:22:03] Warning: Hidden directory found: /etc/.git
[09:22:03] Warning: Hidden file found: /etc/.etckeeper: ASCII text
[09:22:03] Warning: Hidden file found: /etc/.gitignore: ASCII text

Il tourne par défaut régulièrement (via /etc/cron.daily/rkhunter) ainsi qu'a chaque mise à jour du système.

Pour permette une modification il faudra lancer rkhunter -\-unlock préalable, ou bien configurer

A ce propos, on peut vouloir l'assouplir, en réglant ses options (cf cette page). Pour cela, dans /etc/default/rkhunter on peut mettre APT_AUTOGEN="true". Cela permet d'utiliser apt sans se faire bloquer (ce n'est pas forcément recommandable, surtout en production).