安全审计团队已经在我工作的公司处理的一些Linux服务器上build立了文件完整性pipe理解决scheme。 他们质疑我们关于/var/lib/rpm/__db.xxx文件被删除和更改的警告。
我必须给他们这些文件被更改/删除的原因。 有人可以解释这些文件是什么以及为什么经常更改。
什么,是的。 为什么,不。 你将不得不确定这是否被授权。
鉴于这是rpm数据库,更改的唯一原因是安装或升级包。 检查包安装的时间安排。 查看yum.log中的事件是否与文件审计保持一致。 查看login历史logging,看看是否有人在那段时间获得了根。