Saya memiliki beberapa sistem yang menjalankan Centos 6 dengan rkhunter diinstal. Saya memiliki cron harian yang menjalankan rkhunter dan melaporkan kembali melalui email.
Saya sangat sering mendapat laporan seperti:
---------------------- Start Rootkit Hunter Scan ----------------------
Warning: The file properties have changed:
File: /sbin/fsck
Current inode: 6029384 Stored inode: 6029326
Warning: The file properties have changed:
File: /sbin/ip
Current inode: 6029506 Stored inode: 6029343
Warning: The file properties have changed:
File: /sbin/nologin
Current inode: 6029443 Stored inode: 6029531
Warning: The file properties have changed:
File: /bin/dmesg
Current inode: 13369362 Stored inode: 13369366
Dari apa yang saya mengerti, rkhunter biasanya akan melaporkan hash dan / atau modifikasi tanggal yang diubah pada file yang dipindai, jadi ini membuat saya berpikir bahwa tidak ada perubahan nyata.
Pertanyaan saya: apakah ada beberapa aktivitas lain pada mesin yang dapat membuat perubahan inode (menjalankan ext4) atau apakah ini benar-benar yum
membuat perubahan reguler (~ seminggu sekali) ke file-file ini sebagai bagian dari pembaruan keamanan normal?
rkhunter --propupd
maka saya bisa melewatkan hack dan membatalkan seluruh poin rkhunter, kan?rpm
menanganinya dengan terlebih dahulu memverifikasi integritasprelink
executable, kemudian memanggilprelink
executable dengan argumen untuk mengembalikan prelinking dengan input dari executable prelink dan output ke stdout. Kemudianrpm
dapat memeriksa integritas output itu. Tidak tahu apakah pendekatan itu dapat diterapkanrkhunter
.Opsi lain yang saya temukan adalah untuk menonaktifkan tes properti ini sepenuhnya. Jika Anda mengedit
/etc/rkhunter.conf
dan mencariDISABLE_TESTS
baris dan mengubahnya ke:The
properties
tes adalah satu memeriksa dan kembali positif palsu pada hash file yang.sumber
Nomor inode yang diubah biasanya berarti file telah diganti. Bisa seperti yang Anda katakan karena pembaruan yang diharapkan. Saya akan memverifikasi md5sums dari file-file itu cocok dengan versi yang didistribusikan. Jika Anda memiliki sistem yang sebanding lainnya, mungkin lebih mudah untuk membandingkannya.
Lihatlah jawaban yang diterima di rkhunter melaporkan perubahan dalam properti file, tapi saya tidak melihat bahwa mereka telah diperbarui oleh yum untuk cara memeriksa paket mana dari binari tersebut.
Tidak akan terlalu mengejutkan jika binari-binari itu berasal dari distribusi yang telah diperbarui karena ada masalah dengan biner lain yang diubah, tetapi binari yang Anda daftar dimasukkan dalam versi baru paket tidak berubah. Apakah laporan juga menunjukkan beberapa biner dimana isinya itu berubah?
sumber
Saya mengkloning drive ke drive yang lebih besar dan menerima peringatan file dengan nomor inode yang berbeda. Saya menghapus rkhunter dari sistem dan menginstal ulang dan menjalankan scann lagi tanpa peringatan tentang nomor inode yang diubah
sumber