我有几个系统运行与rkhunter安装的Centos 6。 我有一个每天运行rkhunter的cron,并通过电子邮件回报。
我经常得到像这样的报告:
---------------------- Start Rootkit Hunter Scan ---------------------- Warning: The file properties have changed: File: /sbin/fsck Current inode: 6029384 Stored inode: 6029326 Warning: The file properties have changed: File: /sbin/ip Current inode: 6029506 Stored inode: 6029343 Warning: The file properties have changed: File: /sbin/nologin Current inode: 6029443 Stored inode: 6029531 Warning: The file properties have changed: File: /bin/dmesg Current inode: 13369362 Stored inode: 13369366 据我所知,rkhunter通常会在扫描的文件上报告改变的散列和/或修改date,所以这使我认为没有真正的改变。
我的问题是:是否有一些其他活动在机器上,可以使inode更改(运行ext4),或者这是真正的yum通常(每周一次)更改这些文件作为正常的安全更新的一部分?
更新文件通常是通过在同一目录中写入新文件,然后在旧文件上重命名文件来完成的。 此方法通常适用于通过包pipe理器安装的所有内容,但也适用于对可执行文件和库执行的任何更新,即使由于其他原因而更新。
这种更新文件的方式确保打开文件的任何进程将得到旧文件或新文件,而不会看到文件中已经打开的任何内容。 这意味着每次更新时,实际上都会有一个同名的新文件,因此inode编号已经更改。
我想这是有一个新的inode号码的文件的原因。
安全更新可能是一个原因。 但还有另一种可能性,我在Fedora Core 1上首次观察到,而且很可能已经在某些时候把它变成了Centos。
正在预先执行可执行文件和库,以便启动速度更快,使用更less的内存。 在这个过程中,加载地址是随机的,使得利用安全漏洞有点困难。 一个cron作业会周期性地重复这个过程,使用新的随机地址,导致所有预先链接的可执行文件和库被更新。
我发现的另一个select是完全禁用这些属性testing。 如果编辑/etc/rkhunter.conf并查找DISABLE_TESTS行并将其更改为:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"
propertiestesting是检查和返回文件哈希值的误报。
更改的inode编号通常表示文件已被replace。 如你所说,这可能是由于预期的更新。 我会validation这些文件的md5sums匹配那些分布式版本。 如果你有另外一个可比较的系统,那么可能比较容易。
看看在rkhunter报告文件属性更改接受的答案,但我没有看到,他们已经由百胜更新如何检查哪些程序包这些二进制文件来自。
如果这些二进制文件来自一个由于另一个二进制文件已经被更新的问题而更新的分发版本,但是你所列出的二进制文件未包含在新版本的软件包中,则不会太奇怪。 您的报告是否也显示了内容更改的二进制文件?