|
|
 | Tripwire, Manglende MD5 checksum
Fra : Carsten Keller |
Dato : 28-08-02 13:36 |
|
Hej gruppe.
Tilbagekommet fra ferie ser jeg at Tripwire har meddelt mig at der er ændret
i /etc/passwd. Dette kunne jo være harmløst, så jeg ville lige se om
checksummen var ændret.. Men af en eller anden grund vises MD5 checksummen
ikke for denne fil. Er det standard, eller skal jeg bekymre mig?
Det der ser ud til at være ændret er "Inode Number". Hvad er det helt
præcist, og under hvilke omstændigheder kan dette ændre sig?
Takker
Keller
---------------------------------------------------------------------------
----
Rule Name: Critical configuration files (/etc/passwd)
Severity Level: 100
----------------------------------------------------------------------------
---
----------------------------------------
Modified Objects: 1
----------------------------------------
Modified object name: /etc/passwd
Property: Expected Observed
------------- ----------- -----------
Object Type Regular File Regular File
Device Number 773 773
* Inode Number 230366 230521
Mode -rw-r--r-- -rw-r--r--
Num Links 1 1
UID root (0) root (0)
GID root (0) root (0)
----------------------------------------------------------------------------
---
Rule Name: Critical configuration files (/etc/sysconfig)
Severity Level: 100
----------------------------------------------------------------------------
---
----------------------------------------
Modified Objects: 1
----------------------------------------
Modified object name: /etc/sysconfig/hwconf
Property: Expected Observed
------------- ----------- -----------
Object Type Regular File Regular File
Device Number 773 773
Inode Number 247527 247527
Mode -rw-r--r-- -rw-r--r--
Num Links 1 1
UID root (0) root (0)
GID root (0) root (0)
Size 2753 2753
* Modify Time Tue Apr 16 16:04:24 2002 Fri Aug 16 15:21:40 2002
Blocks 8 8
CRC32 ADibvJ ADibvJ
MD5 AHG8cLdYTc1hUiNGQGINg0 AHG8cLdYTc1hUiNGQGINg0
| |
 Peter Mogensen (30-08-2002)
| Kommentar
Fra : Peter Mogensen |
Dato : 30-08-02 22:28 |
|
Nå.. der er ikke andre der har svaret. Jeg har tidligere brugt Tripwire,
så jeg kan da gætte lidt.
Carsten Keller wrote:
> Hej gruppe.
> Tilbagekommet fra ferie ser jeg at Tripwire har meddelt mig at der er ændret
> i /etc/passwd. Dette kunne jo være harmløst, så jeg ville lige se om
> checksummen var ændret.. Men af en eller anden grund vises MD5 checksummen
> ikke for denne fil. Er det standard, eller skal jeg bekymre mig?
Hmm.. jeg kan ikke se hvorfor /ets/passwd ikke skulle checkes på MD5
også, men det står vel i din policy-fil om den skal?
> Det der ser ud til at være ændret er "Inode Number". Hvad er det helt
> præcist, og under hvilke omstændigheder kan dette ændre sig?
inode# er dit filsystems reference til den diskblok filen ligger i. Hvis
Inode Number ændrer sig kunne det tyde på at filen har været igennem
en operatio ala:
cp fil nyfil
<ret i nyfil>
mv -f nyfil fil
D.v.s. filen ligger sammen sted i filsystemt, men er en anden fil på disken.
Jeg ved ikke lige hvad hwconf laver. Jeg går ud fra at det er Redhat og
det er lang tid siden jeg har haft sådan en maskine.
Hvilken version af tripwire bruger du? Jeg har oplevet lidt
underligheden med Tripwire 2.2.1 (en gammel svend). Bl.a. var det i en
installation umuligt for mig at fortælle den at det var OK at der var
rettet i /etc/smb.conf. Den kom med løftede fingre i hver eneste rapport.
Peter
| |
|
|