このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

tripwireが/usr/sbinなどでmodifiedを このメッセージに返信する
日時: 2010/06/10 09:30
名前: debudebu
URL:
こちらのサイトで紹介されている手順でtripwireをインストール、設定しました。
tripwireのバージョンは2.4.2です。
EPELのレポジトリからunbound、chkrootkitをインストールしました。
tripwireからのレポートで、それらのファイルの一部がmodifiedとして
レポートされました。
これはファイルが改ざんされたとみるべきでしょうか。


-------------------------------------------------------------------------------
Rule Name: OS Binaries and Libraries (/usr/sbin)
Severity Level: 0
-------------------------------------------------------------------------------

Modified:
"/usr/sbin"
"/usr/sbin/unbound"
"/usr/sbin/unbound-checkconf"
"/usr/sbin/unbound-control"
"/usr/sbin/unbound-host"

-------------------------------------------------------------------------------
Rule Name: OS Binaries and Libraries (/usr/lib)
Severity Level: 0
-------------------------------------------------------------------------------

Modified:
"/usr/lib"
"/usr/lib/chkrootkit-0.48"
"/usr/lib/chkrootkit-0.48/check_wtmpx"
"/usr/lib/chkrootkit-0.48/chkdirs"
"/usr/lib/chkrootkit-0.48/chklastlog"
"/usr/lib/chkrootkit-0.48/chkproc"
"/usr/lib/chkrootkit-0.48/chkutmp"
"/usr/lib/chkrootkit-0.48/chkwtmp"
"/usr/lib/chkrootkit-0.48/ifpromisc"
"/usr/lib/libldns.so.1.6.3"
"/usr/lib/libunbound.so.2.3.0"

-------------------------------------------------------------------------------
Rule Name: OS Binaries and Libraries (/usr/bin)
Severity Level: 0
-------------------------------------------------------------------------------

Modified:
"/usr/bin"
"/usr/bin/drill"
"/usr/bin/ldns-chaos"
"/usr/bin/ldns-compare-zones"
"/usr/bin/ldns-dpa"
"/usr/bin/ldns-key2ds"
"/usr/bin/ldns-keyfetcher"
"/usr/bin/ldns-keygen"
"/usr/bin/ldns-mx"
"/usr/bin/ldns-notify"
"/usr/bin/ldns-nsec3-hash"
"/usr/bin/ldns-read-zone"
"/usr/bin/ldns-resolver"
"/usr/bin/ldns-revoke"
"/usr/bin/ldns-rrsig"
"/usr/bin/ldns-signzone"
"/usr/bin/ldns-testns"
"/usr/bin/ldns-update"
"/usr/bin/ldns-verify-zone"
"/usr/bin/ldns-version"
"/usr/bin/ldns-walk"
"/usr/bin/ldns-zcat"
"/usr/bin/ldns-zsplit"
"/usr/bin/ldnsd"

記事編集 編集

Page: | 1 | 2 |

Re: tripwireが/usr/sbinなどでmodifiedを このメッセージに返信する
日時: 2010/06/12 07:15
名前: stranger
URL: http://ja.528p.com/
google検索より抜粋---

prelinkは、本来、プログラムの起動時間を短縮するためのものです。
 これに加え、RHELではセキュリティ強化のために提供されている、
 以下の機能がONになっています。

 「プログラムが依存するライブラリを
  メモリにロードするアドレスをランダムに決定する」

 この機能により、prelinkがロードを行うライブラリと実行ファイル
 のアドレスは、14日に1回のタイミングで再度ランダムな値に変更され、
 割り当てられます。

---ここまで

プログラムの起動時間の短縮は、サーバでは効果が薄いと思う
ランダムなアドレス変更は、意味があるように思う

/etc/prelink.conf
/etc/sysconfig/prelink
/etc/cron.daily/prelink
あたりで制御
記事編集 編集
Re: tripwireが/usr/sbinなどでmodifiedを このメッセージに返信する
日時: 2010/06/12 18:52
名前: debudebu
URL:
strangerさん、レス、ありがとうございます。

パッケージのインストール/アップデート後に、prelink実行、
tripwireでデータベースを更新、という手順を自動化できれば
よいのかもしれませんが、勉強不足なので、
/etc/sysconfig/prelinkで、PRELINKING=no を設定して、
しばらく運用してみます。

お騒がせしました。


記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -