パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

rkhunter の警告 其の2」記事へのコメント

  • 私のサーバも改ざん予防のため tripwire を使っているのですが、セキュリティフィックスなどのパッケージをアップデートして(tripwire のデータベースを更新して)も、何故か一日後に更新したパッケージがデータベースのもの違うよと報告してきました。
    で、いろいろ悩んでたんですが、どうも「prelink」が問題だったようです。
    パッケージ更新→ cron で prelink がコマンドファイルをいじる→元のファイルと異なる

    rkhunter がどのような基準でファイルを検知しているかは知らないんですが、こういう事例もありましたよ、ということで。

    --
    ん? 俺、今何か言った?
    • コメント有り難うございます。

      「tripwire」ですか。以前使ってましたが、新規インストール直後とか、正しい状態の時DB作成しないと意味が無いんですよね。
      その点、時すでに遅し。しかし、「パッケージ更新→ cron で prelink がコマンドファイルをいじる→元のファイルと異なる」と言う前例が有る訳ですから、説得力有りますね。

      有難うございます。試して見ます。

      --
      hoihoi-p  得意淡然、失意泰然。
      • Re:tripwire でも (スコア:2, 参考になる)

        by jordan_beth (10928) on 2011年04月27日 13時01分 (#1943701) 日記

        既存パッケージを全て強制再インストールすればどうでしょう?
        rpm -qa | xargs yum reinstall -y
        これなら少なくともディストリビューションのパッケージは全てリポジトリのものと同一となるわけですし、prelink を使っているなら、その直後に日毎の prelink の cron を実行
        /etc/cron.daily/prelink
        さらにその直後に rkhunter なり tripwire なりのデータベースを変更する、と。

        もちろん、何らかの侵入の形跡があるのであれば、root のパスワードは変更しておかないと意味ないと思いますが。

        # reinstall で環境を壊すことはないと思いますが、バックアップはきちんと取ってからやってみてくださいね

        --
        ん? 俺、今何か言った?
        親コメント
        • by hoihoi-p (5571) on 2011年04月28日 0時46分 (#1944114) 日記

          ご指導感謝します。

          >既存パッケージを全て強制再インストールすればどうでしょう?
          >rpm -qa | xargs yum reinstall -y

          もうすぐFedora-15が出ると思いますので、その時に"preupgrade"しようかと思ってました。Fedora-13から14に上げるときも、その方法でしたし、殆どすべてのパッケージが書き換えられますので、それで良いかな?と思ってました。
          気になって、"crond"、"prelink"、"anacron"、"run-parts"、"crontab" を、上書きしましたが、ファイルサイズが異なるものは有りませんでした。*.conf 等はまだ全部は見てませんが、rkhunter.conf の設定に少々追記・書き換えしました。その結果現状では以下のような警告が出てます。

          rkhunter.logの抜粋
          ---------------------------------------------------------------
          [14:00:48] Warning: Package manager verification has failed:
          [14:00:48] File: /etc/rkhunter.conf
          [14:00:48] The file hash value has changed
          [14:00:48] The file size has changed
          [14:00:48] The file modification time has changed
          [14:00:49] /var/lib/rkhunter/db/backdoorports.dat [ OK ]
          [14:00:50] /var/lib/rkhunter/db/programs_bad.dat [ Warning ]
          [14:00:50] Warning: Package manager verification has failed:
          [14:00:50] File: /var/lib/rkhunter/db/programs_bad.dat
          [14:00:50] The file hash value has changed
          [14:00:50] The file size has changed
          [14:00:50] The file modification time has changed
          ---------------------------------------------------------------

          "/etc/rkhunter.conf" の事は、"SELinuxのコンテキスト" が変。ということだと思い、訂正しました。検証はまだしてません。

          バックアップ用のディスクが不安定なものしか無いので、用意しないと。

          未だなかば。諦めないぞ!

          --
          hoihoi-p  得意淡然、失意泰然。
          親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...