OSSEC-Integritätsprüfsummenalarm - Was hat die Änderung verursacht?

7

Kürzlich installierte OSSEC auf Linux-Maschine zum Testen.

Die meisten Ergebnisse werden erwartet, aber gestern habe ich E-Mails mit einer Reihe von Benachrichtigungen über Änderungen der Integritätsprüfsumme für Dateien wie / usr / bin / whoami / usr / bin / md5sum / usr / bin / ls und weitere 50 ähnliche Dateien erhalten

Wie kann ich herausfinden, warum sich die Integritätsprüfsumme 2 Tage nach der Installation des OSSEC-Programms geändert hat, da ich keine neuen Versionen dieser Dateien installiert habe?

Eureka

linux  ossec 
Eureka Ikara
quelle

Antworten:

6

Zwei Gründe sind:

Sie können die Vorverknüpfung deaktivieren, indem Sie / etc / sysconfig / pretink von folgender Adresse aus bearbeiten:

PRELINKING=yes

zu:

PRELINKING=no

Und läuft:

prelink -ua

Quelle: http://www.ossec.net/wiki/Know_How:Check_Sums

Rob Olmos
quelle
2
Vielen Dank. Das hat die ständigen Veränderungen erklärt, die ich gesehen habe. Ich habe dann weiter gesucht und auch Informationen zu einer anderen Option gefunden. Quelle: mail-archive.com/ossec-list@googlegroups.com/msg04568.html
Eureka Ikara
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.