CentOS 6.5でrkhunter 1.4.2を使用しています。
/var/log/rkhunter.logのメッセージの1つは次のとおりです。
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
私はip -Vを使用しています
ip -V
ip utility, iproute2-ss091226
これは2009年のパッケージの一部であることを意味するようです。 iproute2を再インストールし、次のような結果を得ました。
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
次のように/sbin/ipのMD5を取得します。
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
インターネット検索MD5では結果が出ていないため、/sbin/ipの合法的なバージョンに該当するかどうかはわかりません。
答え1
iproute問題のパッケージがCentOSにありませんiproute2。
スキーマが含まれていないと、他の人が実行可能ファイルのmd5の合計を確認することは困難です。確認する1つの方法は、信頼できるシステムのcentosイメージからrpmを手動でダウンロードし、解凍してファイルを表示することです。
mirror.centos.org(2.6.32-33)の最新バージョンでこれを行うと、次の結果が得られます。
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
どちらもあなたには適していません。心配な場合は、明らかに機械を軌道から外すこともできます。私の直感は、iprouteが最近更新されたということです。ここでiprouteパッケージの日付を確認してください。
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
2014年11月6日14:07に最後に変更されたパッケージがあります。
この実行可能ファイルのmd5sumが上記と一致しないという事実は、(0)実行可能ファイルが破損していることを意味します。 (1)私が確認したバージョンに更新していません。 (2) 一部の管理者がパッケージを再構築しました。サイト固有のコンパイルフラグの使用、(3)RPMのインストールが無効で、解凍に失敗したか、その他のエラーが原因で実行可能ファイルにエラーが発生しました。それとも別のオプションがあると確信しています。
rpm -V -f /sbin/ipRPMデータベースのファイルを検証することもできます。ただし、システムが破損していると考える理由がある場合は、同じシステムのツールを使用してそれらを分析することも少しあいまいです。そのうちの1つがユーザーをだますために変更された可能性があるためです。