Início / server / Perguntas / 770800
Accepted
Steffen
Asked: 2016-04-17 01:00:19 +0800 CST

rkhunter: Depois de alguns dias, recebo "O sistema mudou para não usar pré-vinculação desde a última execução."

  • 772

Executamos aqui um (novo) sistema CentOS 7. Para observar o sistema contra alterações inválidas / ataques de hackers, executamos o rkhunter todas as noites. Além disso, após cada atualização (yum), nós pré-vinculamos tudo e executamos "rkhunter --propupd".

Isso funciona bem. Mas depois de alguns dias, recebemos o seguinte erro:

[03:55:02] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
           is used, all the files on their system are known to be genuine, and installed from a
           reliable source. The rkhunter '--check' option will compare the current file properties
           against previously stored values, and report if any values differ. However, rkhunter
           cannot determine what has caused the change, that is for the user to do.
...
...
...
[03:55:04] Warning: Checking for prerequisites               [ Warning ]
[03:55:04]          The local host configuration or operating system has changed.
[03:55:05]   /usr/sbin/adduser                               [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/adduser' in the 'rkhunter.dat' file.
[03:55:05]   /usr/sbin/chkconfig                             [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/chkconfig' in the 'rkhunter.dat' file.
[03:55:05]   /usr/sbin/chroot                                [ Warning ]

Temos certeza de que o servidor não foi invadido. Porque verificamos a data e o tamanho de alguns dos arquivos binários. Também criamos uma soma de verificação de alguns desses arquivos. Todos os arquivos são idênticos e inalterados após a ocorrência do aviso do rkhunter.

Mas queremos descobrir qual é o motivo dos avisos do rkhunter ...

Alguma ideia?

EDITAR:

Há também outro aviso nos arquivos de log do rkhunter:

[03:55:05] Warning: The system has changed to not using prelinking since the last run.
[03:55:05]          Because of the change(s) the file properties checks may give some false-positive results.
[03:55:05]          You may need to re-run rkhunter with the '--propupd' option.

E essa também é a solução. Veja na minha resposta abaixo....

centos7 rkhunter

1 respostas

  1. Best Answer

    Encontrei! Hoje eu examinei vários arquivos de log. E então eu encontrei um arquivo de log de pré-link. O arquivo de log mostra que havia um processo de pré-link em execução. Depois de pesquisar um trabalho de pré-link nos arquivos cron, encontrei-o em /etc/cron.daily. Tenho certeza que esse é o motivo do aviso do rkhunter ... :-)

    • 1

relate perguntas