Я использую CentOS 6.3.
У меня есть инструмент, который отслеживает хэши md5sum для системных двоичных файлов и отправляет мне сообщения по электронной почте, когда есть изменения. Очевидно, когда я запускаю обновления системы через yum, эта проверка md5sum указывает, что хеш изменился.
Сегодня утром я проснулся от странного электронного письма, в котором обнаружил, что / usr / bin / gpg и co изменились:
/usr/bin/gpg: FAILED
/usr/bin/gpg2: FAILED
/usr/bin/gpg-agent: FAILED
/usr/bin/gpgconf: FAILED
/usr/bin/gpg-connect-agent: FAILED
/usr/bin/gpg-error: FAILED
/usr/bin/gpgkey2ssh: FAILED
/usr/bin/gpgsplit: FAILED
/usr/bin/gpgv: FAILED
/usr/bin/gpgv2: FAILED
/sbin/cryptsetup: FAILED
Сейчас я ищу пакеты, которые действительно содержат эти двоичные файлы, чтобы я мог запустить yum info на нем и выполните сравнение md5sum того, что в моей системе, и того, что в настоящее время доступно в репозиториях CentOS, которые я сейчас использую.
На момент отправки этого письма не выполняются задания cron, поэтому я очень недоумеваю, как это могло произойти, кроме нарушения безопасности.
Однако, с другой стороны, этот сервер очень новый (примерно 2 недели назад), он полностью обновлен, и за последние 2 дня мы завершили запуск его в производство. Брандмауэр приложений, расположенный поверх таблиц IP, отслеживает журналы, неудачные попытки входа в систему и т. Д., И все службы на этом компьютере работают нормально. Я был бы очень удивлен, если бы в системе безопасности действительно было нарушение.
В логах ничего подозрительного не нахожу.
Так...
"rpm -qf <filename>" даст вам имя пакета, содержащего указанное вами имя файла.
Да - ИМХО, если бы он был взломан, было бы намного больше файлов изменено. Сказав это, я не уверен, что вы их заметили - если бы нарушение было достаточно сложным, ваш сценарий оповещения был бы отключен и / или заменен.