Sziasztok!
Debian etch-t használok. Szerverecském naponta küldi nekem mailben a tripwire-reportot. Az eredménnyel kapcsolatosan van 2 kérdésem:
Modified:
"/var/log/mysql/mysql.log"
"/var/log/mysql/mysql.log.1.gz"
"/var/log/mysql/mysql.log.2.gz"
"/var/log/mysql/mysql.log.3.gz"
"/var/log/mysql/mysql.log.4.gz"
"/var/log/mysql/mysql.log.5.gz"
"/var/log/mysql/mysql.log.6.gz"
"/var/log/mysql/mysql.log.7.gz"
"/var/log/mysql.err"
"/var/log/mysql.err.1.gz"
"/var/log/mysql.err.2.gz"
...
Ez gondolom logrotate miatt van, nem? Vagy valaki b@sztatná szinte _minden_ logfilet? :-/ A configban nem változtattam a /var/log-ra vonatkozó default bejegyzést. Tehát van erre vmi racionális magyarázat?
Modified:
"/etc"
"/etc/mtab"
"/etc/resolv.conf"
"/etc/rmtab"
Ok, nyilván mtab, resolv.conf és rmtab tiszta. Ez mind változhat. De az mit jelent, hogy maga a könyvtár, az "/etc" módosult? Ez a jelenség 2 napja jelentkezett, előtte nem volt.
Köszi,
Csaba
- 1239 megtekintés
Hozzászólások
Ha egy könyvtárban módosítasz egy file-t akkor már a könyvtár is módosúl. Próbáld ki.:)
- A hozzászóláshoz be kell jelentkezni
"Ha egy könyvtárban módosítasz egy file-t akkor már a könyvtár is módosúl. Próbáld ki.:)"
Igen, ez logikusan hangzik. De akkor a "/var/log"-ra miért nem mondja, hogy módosult, amikor szinte minden file módosult benne? :-/
- A hozzászóláshoz be kell jelentkezni
A configfilet megvizsgalva ez biztos kiderul.
Tutira mas az alapbeallitasa.
Ahogy irtad, nem valtoztattal rajta.
- A hozzászóláshoz be kell jelentkezni
Bar en csak aide-t szoktam hasznalni, de szerintem ezek normalisak.
A log-oknal nem tudom mi az alapertelmezett, de nyilvan a logrotate miatt jelez, hiszen valtozik az inode,mtime,ctime...
Szerintem, a /etc azert valtozik, mert a konyvtar alatt levo barmely file megvaltozott, igy a konyvatat is valtozottnak jeloli.
De azt nem ertem, hogy 2 nappal ezelottig miert nem jelzett.
Vagy elkezded finomitani, hogy amirol tudod, hogy ugyis valtozik,
ne vegye figyelembe, vagy ignoralod.
Mi az az rmtab?? remote mtab? Mi van benne?
- A hozzászóláshoz be kell jelentkezni
"Mi az az rmtab?? remote mtab? Mi van benne?"
Rmtab az olyan mint az mtab, csak remote. Tehát az van benne, hogy pl. milyen kliens mit mountolt a szerveren nfs-en keresztül. Ha a tripwire update akkor fut, amikor a kliens felmountolja a filerendszert és az integriry check pedig éjszaka megy, amikor a szerveren kívül minden ki van kapcsolva, akkor mindig szivat a tripwire az rmtabbal ;-)
- A hozzászóláshoz be kell jelentkezni