<div dir="ltr">I received an alert from OSSEC HIDS that a package was installed at 00:59. Nobody uses this infrastructure but me<div><br></div><div>Upon investigation I find this</div><div><br></div><div><div>Sep 14 00:59:18 ovirthost1 sshd[93263]: Accepted publickey for root from 10.0.16.50 port 50197 ssh2: RSA 1c:fc:0d:b8:40:2c:bf:87:f7:8f:b2:52:0b:c4:f6:4d</div><div>Sep 14 00:59:18 ovirthost1 sshd[93263]: pam_unix(sshd:session): session opened for user root by (uid=0)</div><div>Sep 14 00:59:46 ovirthost1 sshd[93263]: pam_unix(sshd:session): session closed for user root</div></div><div><br></div><div>10.0.16.50 is my ovirt engine</div><div><br></div><div>And the yum log</div><div><br></div><div><div>Sep 14 00:59:28 Updated: iproute-3.10.0-87.el7.x86_64</div></div><div><br></div><div>However, what is baffling to me is that this is a cluster I setup about 9 months ago and have not updated at all (its a testing env for VM systems)</div><div><br></div><div>Why would ovirt seemingly randomly update and install a package? I know the engine checks for updates on hosts but this is the first time in my time using ovirt that ovirt instructed a host to install a package. This occurred on all of my ovirt nodes in this infrastructure (3)</div><div><br></div><div>ovirt Version 4.0.1.1-1.el7.centos</div></div>