Все началось с того что ради тестов поставил tripwire на один сервер, настроил, сгенерировал базу, настроил проверку по крону...
И на следующее утро получил письмо от tripwire с информацией о том что исполняемые файлы tripwire изменили свой размер, контрольную сумму, дату изменения и даже номер inode.
rpm -V показал только что изменились конфигурационные файлы (это я)
Это как-то немного успокоило, но не надолго.
Потом были вопросы к секурити-спецу, попытки понять как это могло случиться и т.д.
Кончилось тем что был скачан rpm с tripwire, распакован и были сверены контрольные суммы файлов пакета с файлами, которые установлены. Они отличались.
Далее был гугл, который намекнул на то что кое-где встречается prelink...
он был натравлен на свежевынутые из rpm файлы, и, о чудо! Контрольные суммы установленных файлов и обработанных prelink - одинаковые.
Почему ничего не изменялось пока шифровалась/инициализировалась политика, проводились проверки/тесты - не понятно, но утро было достаточно забавным.
Комментариев нет:
Отправить комментарий