rkhunter는 inode 변경을 경고하지만 파일 수정 날짜는 변경하지 않습니다

8

rkhunter가 설치된 Centos 6을 실행하는 여러 시스템이 있습니다. 매일 rkhunter를 실행하고 이메일을 통해보고하는 cron이 있습니다.

나는 종종 다음과 같은 보고서를 얻는다.

---------------------- Start Rootkit Hunter Scan ----------------------
Warning: The file properties have changed:
        File: /sbin/fsck
        Current inode: 6029384    Stored inode: 6029326
Warning: The file properties have changed:
        File: /sbin/ip
        Current inode: 6029506    Stored inode: 6029343
Warning: The file properties have changed:
        File: /sbin/nologin
        Current inode: 6029443    Stored inode: 6029531
Warning: The file properties have changed:
        File: /bin/dmesg
        Current inode: 13369362    Stored inode: 13369366

내가 이해 한 바에 따르면, rkhunter는 일반적으로 스캔 한 파일에 변경된 해시 및 / 또는 수정 날짜를보고하므로 실제 변경은 없다고 생각하게됩니다.

내 질문 : inode를 변경 (ext4 실행) 할 수있는 다른 활동이 yum있습니까? 아니면 정상적인 보안 업데이트의 일환 으로이 파일을 실제로 정기적으로 변경합니까 (~ 일주일에 한 번)?

centos  yum  rkhunter 
닉 코텔
소스

답변:

8

파일 업데이트는 종종 동일한 디렉토리에 새 파일을 작성한 다음 이전 파일 위에 파일 이름을 바꾸어 수행됩니다. 이 방법은 일반적으로 패키지 관리자를 통해 설치된 모든 항목에 적용되며 다른 이유로 업데이트 된 경우에도 실행 파일 및 라이브러리에 수행 된 모든 업데이트에도 적용됩니다.

이러한 방식으로 파일을 업데이트하면 파일을 여는 모든 프로세스가 이전 또는 새 프로세스를 가져 오며 파일에서 변경된 내용이 표시되지 않습니다. 즉, 업데이트 될 때마다 실제로 동일한 이름의 새 파일이 생성되므로 inode 번호가 변경됩니다.

이것이 새로운 inode 번호를 가진 파일의 이유라고 생각합니다.

보안 업데이트가 한 가지 이유 일 수 있습니다. 그러나 Fedora Core 1에서 처음 관찰 한 또 다른 가능성이 있으며, 어느 시점에서 Centos로 잘 만들 수 있습니다.

실행 파일과 라이브러리는 더 빨리 시작하고 더 적은 메모리를 사용할 수 있도록 미리 연결되어 있습니다. 이 과정에서로드 취약점이 무작위로 선정되어 보안 취약점 악용이 조금 더 어려워집니다. 크론 작업은 새로운 무작위 주소로 프로세스를 주기적으로 반복하여 모든 사전 연결된 실행 파일과 라이브러리를 업데이트합니다.

카스퍼 드
소스
2
그렇습니다. 프리 링크는 여기서 가장 가능성있는 설명으로 보입니다.
Michael Hampton
그래도 이것을 처리하는 좋은 방법이 있습니까? 크론을 실행 rkhunter --propupd하면 해킹을 놓치고 rkhunter의 모든 부분을 무효화 할 수 있습니까?
Nic Cottrell 2016 년
1
@NicholasTolleyCottrell rpm은 먼저 prelink실행 파일 의 무결성을 확인하여 처리 한 다음 prelink인수로 실행 파일을 호출하여 사전 연결된 실행 파일의 입력으로 사전 연결을 되돌리고 stdout으로 출력합니다. 그런 다음 rpm해당 출력의 무결성을 확인할 수 있습니다. 이 방법을에 적용 할 수 있을지 모르겠습니다 rkhunter.
kasperd
1
linuxquestions.org/questions/linux-security-4/…을 둘러 보지 않는 체크섬을 얻는 방법은이 스레드를 참조하십시오 . 크론 기반 도구로 rkhunter에서 멀어졌습니다. 유용한 검사가 많이 있지만 허위 긍정에 해당하는 검사를 해제 할 수 없으면 전자 메일 보고서를 무시하는 데 익숙해지기 때문에 필요한 위치에주의를 기울이는 데 거의 쓸모가 없습니다. 나는 여전히 수동으로 실행되는 도구로 유용하다고 생각합니다.
mc0e
2

내가 찾은 다른 옵션은 이러한 속성 테스트를 완전히 비활성화하는 것입니다. 행 을 편집 /etc/rkhunter.conf하고 찾은 후 다음으로 DISABLE_TESTS변경하십시오.

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"

properties시험은 확인하고 파일 해시에 잘못된 반응을 반환하는 것입니다.

닉 코텔
소스
1

변경된 inode 번호는 일반적으로 파일이 교체되었음을 의미합니다. 예상 한 업데이트 때문일 수 있습니다. 해당 파일의 md5sum이 분산 버전의 md5sum과 일치하는지 확인했습니다. 다른 비슷한 시스템이 있다면 그 시스템과 비교하는 것이 가장 쉽습니다.

파일 속성의 rkhunter 보고서 변경 사항에서 허용되는 답변을 살펴보십시오. 그러나 yum에 의해 업데이트되었음을 ​​알 수 없습니다. 바이너리가 어떤 패키지인지 확인하는 방법에 대해 .

이 바이너리가 변경된 다른 바이너리의 문제로 인해 업데이트 된 배포에서 나온 것이지만 놀라운 것은 아니지만 나열된 바이너리는 패키지의 새 버전에 포함되지 않은 것입니다. 보고서에 내용 변경된 이진 파일도 표시 되었습니까 ?

mc0e
소스
아니요, 실제로 파일 속성이 변경되었다는 내용 만 수신 한 것 같습니다.
Nic Cottrell 2016 년
-1

드라이브를 더 큰 드라이브로 복제하고 다른 inode 번호를 가진 파일의 경고를 받았습니다. 시스템에서 rkhunter를 제거하고 다시 연결하고 inode 번호 변경에 관한 경고없이 다시 스캔을 실행했습니다.

윌 스미스
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.