Недавно установил OSSEC на машину Linux для тестирования.
Большинство результатов ожидается, однако вчера я получил электронные письма с рядом уведомлений об изменении контрольной суммы целостности в таких файлах, как / usr / bin / whoami / usr / bin / md5sum / usr / bin / ls и еще о 50 подобных файлах.
Поскольку я не устанавливал никаких новых версий этих файлов, как мне узнать, что привело к изменению контрольной суммы целостности через 2 дня после установки программы OSSEC?
Эврика
Две причины:
Вы можете отключить предварительную ссылку, отредактировав / etc / sysconfig / prelink из:
PRELINKING=yes
кому:
PRELINKING=no
И работает:
prelink -ua