<div dir="ltr">An alternative auditing strategy might be using a tool like blueprint[1] to reverse engineer your server's setup, then diff the results.  N.B. I've never tried blueprint in anger, so have no idea how successful its reverse-engineering is.<div>
<div><br></div><div>[1] <a href="https://github.com/devstructure/blueprint">https://github.com/devstructure/blueprint</a></div></div><div class="gmail_extra"><br>Tom<br><br><div class="gmail_quote">On 17 July 2013 23:14, Paul Battley <span dir="ltr"><<a href="mailto:pbattley@gmail.com" target="_blank">pbattley@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 17 July 2013 22:22, Gareth Rushgrove <<a href="mailto:gareth@morethanseven.net">gareth@morethanseven.net</a>> wrote:<br>

> Running puppet/chef/whatever every x minutes doesn't just have the<br>
> ability to change things to be how you described them, it has the<br>
> ability to tell you that something in the world is different to how<br>
> you think it should be.<br>
<br>
</div>I'm a bit sceptical of this claim. I know that's what everyone would<br>
like their configuration management system to be doing, and if it were<br>
true it would save a lot of problems, but what everyone really does is<br>
start with an off the shelf distro and configure parts of the system<br>
to meet their desired spec, leaving the bulk of it to the underlying<br>
distro. That will tell you if the parts of the system you've<br>
configured have diverged, but unless I've missed something, that seems<br>
to leave a whole lot of blind spots. I'm not saying that's not useful,<br>
but Puppet[0] isn't really an intrusion detection system.<br>
<br>
If you were to set up Linux from Scratch using Puppet etc., then you<br>
probably could get a pretty complete overall view of this, but I think<br>
you'd need a combine harvester, the ability to warp time, and<br>
near-infinite patience to shave that yak.<br>
<br>
Paul.<br>
<br>
[0]: For Puppet, read "configuration management system of your choice"<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Chat mailing list<br>
<a href="mailto:Chat@lists.lrug.org">Chat@lists.lrug.org</a><br>
<a href="http://lists.lrug.org/listinfo.cgi/chat-lrug.org" target="_blank">http://lists.lrug.org/listinfo.cgi/chat-lrug.org</a><br>
</div></div></blockquote></div><br></div></div>