Группа аудита безопасности установила решение для управления целостностью файлов на некоторых серверах Linux, которыми управляет компания, с которой я работаю. Они спрашивают нас о некоторых предупреждениях, которые они получили об удалении и изменении файлов /var/lib/rpm/__db.xxx.
Я должен сообщить им причину изменения / удаления этих файлов. Может кто-нибудь объяснить, что это за файлы и почему они часто меняются.
Что да; почему нет. Вам нужно будет определить, разрешено ли это.
Учитывая, что это rpm db, единственная причина для изменений - установка или обновление пакетов. Проверьте, когда запланирована установка пакетов. Посмотрите, совпадают ли события в yum.log с аудитом файлов. Просмотрите историю входа в систему, чтобы узнать, получил ли кто-нибудь root права в это время.