CentOS 6.5에서 rkhunter 1.4.2를 사용하고 있습니다.
/var/log/rkhunter.log의 메시지 중 하나는 다음과 같습니다.
Warning: The file properties have changed:
[09:40:35] File: /sbin/ip
[09:40:35] Current size: 247396 Stored size: 247300
[09:40:35] Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35] Stored file modification time : 1401361583 (29-May-2014 07:06:23)
나는 ip -V를 사용하고
ip -V
ip utility, iproute2-ss091226
이는 2009년 패키지의 일부임을 의미하는 것 같습니다. iproute2를 다시 설치해 보았고 다음과 같은 결과를 얻었습니다.
$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
* atomic: www.atomicorp.com
* base: mirror.lug.udel.edu
* epel: mirror.nexcess.net
* extras: mirrors.lga7.us.voxel.net
* rpmforge: repoforge.mirror.constant.com
* updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do
다음과 같이 /sbin/ip의 MD5를 얻습니다.
$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615 /sbin/ip
인터넷 검색 MD5에서는 결과가 나오지 않았으므로 /sbin/ip의 합법적인 버전에 해당하는지 알 수 없습니다.
답변1
iproute문제의 패키지가 CentOS 에 없습니다 iproute2.
스키마를 포함하지 않으면 다른 사람이 실행 파일의 md5 합계를 확인하기가 어렵습니다. 확인하는 한 가지 방법은 신뢰할 수 있는 시스템의 centos 이미지에서 rpm을 수동으로 다운로드하고 압축을 풀고 파일을 보는 것입니다.
mirror.centos.org(2.6.32-33)의 최신 버전에 대해 이 작업을 수행하면 다음과 같은 결과를 얻습니다.
x86_64 2d08ea6c0e0e8360f7618ba549101fb8 /sbin/ip
i386 d9bea3a3fda11e9b3822f796601e75d0 /sbin/ip
둘 다 당신에게 적합하지 않습니다. 걱정된다면 분명히 기계를 궤도에서 벗어나게 할 수도 있습니다. 내 직감은 iproute가 최근에 업데이트되었다는 것입니다. 여기에서 iproute 패키지 날짜를 확인하세요.
http://mirror.centos.org/centos/6/updates/x86_64/Packages/
2014년 11월 6일 14:07에 마지막으로 수정된 패키지가 있습니다.
이 실행 파일에 대한 md5sum이 위와 일치하지 않는다는 사실은 (0) 실행 파일이 손상되었음을 의미할 수 있습니다. (1) 내가 확인한 버전으로 업데이트하지 않았습니다. (2) 일부 관리자가 패키지를 다시 빌드했습니다. 사이트별 컴파일 플래그 사용, (3) RPM 설치가 잘못되었고 압축 풀기 실패 또는 기타 오류로 인해 실행 파일에 오류가 발생했습니다. 아니면 다른 옵션이 있다고 확신합니다.
rpm -V -f /sbin/ipRPM 데이터베이스에 대해 파일의 유효성을 검사할 수도 있습니다 . 그러나 시스템이 손상되었다고 믿을 만한 이유가 있는 경우 동일한 시스템의 도구를 사용하여 이를 분석하는 것도 약간 모호합니다. 그 중 하나가 사용자를 속이기 위해 수정되었을 수 있기 때문입니다.