- Text
- Geschichte
5down vote+25 Updating files is oft
5
down vote
+25
Updating files is often done by writing a new file in the same directory followed by renaming the file on top of the old file. This method is usually applied to everything installed through a package manager, but also to any update performed to executables and libraries even if updated for other reasons.
This way of updating files ensure that any process opening the file will get either the old or the new, and not see anything changing in the file, which they have opened. It does mean that each time it is updated, you will actually have a new file with the same name, hence the inode number has changed.
I guess this is the reason for those files having a new inode number.
A security update could be one reason. But there is another possibility, which I first observed on Fedora Core 1, and that could very well have made it into Centos at some point.
Executables and libraries are being prelinked such that they can start faster and use less memory. During this process the load address is randomized to make exploiting security vulnerabilities a little bit harder. A cron job would periodically repeat the process with new randomized addresses causing all the prelinked executables and libraries to get updated.
The other option I found was to disable these properties tests completely. If you edit /etc/rkhunter.conf and look for the DISABLE_TESTS line and change it to:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"
The properties test is the one checking and returning false positives on the file hashes.
down vote
+25
Updating files is often done by writing a new file in the same directory followed by renaming the file on top of the old file. This method is usually applied to everything installed through a package manager, but also to any update performed to executables and libraries even if updated for other reasons.
This way of updating files ensure that any process opening the file will get either the old or the new, and not see anything changing in the file, which they have opened. It does mean that each time it is updated, you will actually have a new file with the same name, hence the inode number has changed.
I guess this is the reason for those files having a new inode number.
A security update could be one reason. But there is another possibility, which I first observed on Fedora Core 1, and that could very well have made it into Centos at some point.
Executables and libraries are being prelinked such that they can start faster and use less memory. During this process the load address is randomized to make exploiting security vulnerabilities a little bit harder. A cron job would periodically repeat the process with new randomized addresses causing all the prelinked executables and libraries to get updated.
The other option I found was to disable these properties tests completely. If you edit /etc/rkhunter.conf and look for the DISABLE_TESTS line and change it to:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"
The properties test is the one checking and returning false positives on the file hashes.
0/5000
5nach Abstimmung+ 25 Aktualisieren von Dateien erfolgt oft durch eine neue Datei in das gleiche Verzeichnis, gefolgt durch Umbenennen der Datei auf die alte Datei schreiben. Dieses Verfahren ist in der Regel alles über einen Paket-Manager installiert, sondern auch ein Update durchgeführt, um ausführbare Dateien und Bibliotheken, selbst wenn aus anderen Gründen aktualisiert.Diese Art der Aktualisierung der Dateien zu gewährleisten, dass jeder Prozess öffnen der Datei die alte oder die neue, und nicht etwas ändern in der Datei, die sie geöffnet haben, sehen. Es bedeutet, dass jedes Mal, wenn es aktualisiert wird, habt ihr eigentlich eine neue Datei mit demselben Namen, damit die Inode-Nummer hat sich geändert.Ich denke, dies ist der Grund für diese Dateien haben eine neue Inode-Nummer.Eine Sicherheits-Update könnte ein Grund sein. Aber gibt es eine andere Möglichkeit, die ich zuerst auf Fedora Core 1 beobachtet, und das sehr gut hätte es in Centos zu einem bestimmten Zeitpunkt.Ausführbaren Dateien und Bibliotheken sind prelinked werden, so dass sie schneller starten und weniger Speicher verwenden. Während dieses Prozesses ist die Ladeadresse randomisiert, um Ausbeutung Sicherheitslücken ein wenig schwerer zu machen. Ein Cron-Job würde mit neuen randomisierten Adressen, wodurch die prelinked ausführbare Dateien und Bibliotheken aktualisiert erhalten in regelmäßigen Abständen den Vorgang wiederholen.Die andere Option, die ich gefunden wurde, diese Eigenschaften Tests komplett zu deaktivieren. Wenn Sie /etc/rkhunter.conf bearbeiten und suchen Sie nach der DISABLE_TESTS Linie und ändern Sie ihn auf:DISABLE_TESTS = "Suspscan Hidden_procs Deleted_files Packet_cap_apps apps Eigenschaften"Der Eigenschaften-Test ist die Überprüfung und Fehlalarme auf die Datei Hashes.
Übersetzt wird, bitte warten..
5
nach unten Abstimmung
+25 Updaten der Dateien erfolgt oft durch eine neue Datei im gleichen Verzeichnis gefolgt schreiben , indem Sie die Datei auf der alten Datei umbenennen. Diese Methode ist in der Regel alles , was über einen Paket - Manager installiert angewendet, sondern auch auf jedem Update durchgeführt , um ausführbare Dateien und Bibliotheken , wenn auch aus anderen Gründen aktualisiert. Auf diese Weise Dateien zu aktualisieren , sicherzustellen , dass jeder Prozess Öffnen der Datei erhalten entweder die alte oder die neue und nichts sehen in der Datei zu ändern, die sie geöffnet haben. Es bedeutet , dass jedes Mal aktualisiert wird, werden Sie tatsächlich eine neue Datei mit dem gleichen Namen haben, daher die Inode - Nummer hat sich geändert. Ich denke , dies ist der Grund für diese Dateien ist eine neue Inode - Nummer haben. Ein Sicherheitsupdate sein könnte Grund. Aber es gibt eine andere Möglichkeit, die ich zuerst 1 auf Fedora Core beobachtet, und das sehr gut es in Centos haben könnte irgendwann gemacht. Ausführbaren Dateien und Bibliotheken so vorgebundene werden , dass sie schneller starten und weniger Speicher. Während dieses Prozesses wird die Last - Adresse randomisiert , um Sicherheitslücken ein wenig schwieriger zu nutzen. Ein Cron - Job regelmäßig den Prozess mit neuen randomisierten Adressen wiederholen würde verursachen alle vorgebundenen ausführbaren Dateien und Bibliotheken aktualisiert. Die andere Option ich fand , war diese Eigenschaften Tests vollständig zu deaktivieren. Wenn Sie /etc/rkhunter.conf bearbeiten und suchen Sie die DISABLE_TESTS Linie und ändern Sie es an: DISABLE_TESTS = "suspscan hidden_procs deleted_files packet_cap_apps apps Eigenschaften" Die Eigenschaften Test ist die eine Überprüfung und Fehlalarme auf die Datei - Hashes zurück.
nach unten Abstimmung
+25 Updaten der Dateien erfolgt oft durch eine neue Datei im gleichen Verzeichnis gefolgt schreiben , indem Sie die Datei auf der alten Datei umbenennen. Diese Methode ist in der Regel alles , was über einen Paket - Manager installiert angewendet, sondern auch auf jedem Update durchgeführt , um ausführbare Dateien und Bibliotheken , wenn auch aus anderen Gründen aktualisiert. Auf diese Weise Dateien zu aktualisieren , sicherzustellen , dass jeder Prozess Öffnen der Datei erhalten entweder die alte oder die neue und nichts sehen in der Datei zu ändern, die sie geöffnet haben. Es bedeutet , dass jedes Mal aktualisiert wird, werden Sie tatsächlich eine neue Datei mit dem gleichen Namen haben, daher die Inode - Nummer hat sich geändert. Ich denke , dies ist der Grund für diese Dateien ist eine neue Inode - Nummer haben. Ein Sicherheitsupdate sein könnte Grund. Aber es gibt eine andere Möglichkeit, die ich zuerst 1 auf Fedora Core beobachtet, und das sehr gut es in Centos haben könnte irgendwann gemacht. Ausführbaren Dateien und Bibliotheken so vorgebundene werden , dass sie schneller starten und weniger Speicher. Während dieses Prozesses wird die Last - Adresse randomisiert , um Sicherheitslücken ein wenig schwieriger zu nutzen. Ein Cron - Job regelmäßig den Prozess mit neuen randomisierten Adressen wiederholen würde verursachen alle vorgebundenen ausführbaren Dateien und Bibliotheken aktualisiert. Die andere Option ich fand , war diese Eigenschaften Tests vollständig zu deaktivieren. Wenn Sie /etc/rkhunter.conf bearbeiten und suchen Sie die DISABLE_TESTS Linie und ändern Sie es an: DISABLE_TESTS = "suspscan hidden_procs deleted_files packet_cap_apps apps Eigenschaften" Die Eigenschaften Test ist die eine Überprüfung und Fehlalarme auf die Datei - Hashes zurück.
Übersetzt wird, bitte warten..
5.nach abstimmung+ 25.aktualisierung der daten geschieht oft durch schreiben einer neuen datei im selben verzeichnis, gefolgt von der umbenennung der datei auf die alte datei.diese methode wird in der regel alles installiert werden, durch eine paket - manager, sondern auch ein update durchgeführt, um programme und libraries, wenn auch aus anderen gründen aktualisiert.diese art der aktualisierung der daten gewährleisten, dass jedes verfahren, das öffnen der datei werden auch die alten und die neuen, und sehen sich in der akte, die sie geöffnet.es bedeutet, dass jedes mal aktualisiert wird, werden sie tatsächlich noch eine neue datei mit dem gleichen namen, damit die inode - nummer hat sich geändert.ich schätze, das ist der grund für diese dateien mit einer neuen inode - nummer.ein sicherheits - update könnte ein grund sein.aber es gibt eine andere möglichkeit, die ich merkte zunächst auf fedora core 1, und das könnte sehr gut haben es in centos irgendwann.die ausführbaren dateien und bibliotheken werden prelinked derart, dass sie beginnen können, schneller und mit weniger speicher.während dieses prozesses der laden adresse randomisierte zu nutzen sicherheitslücken ein bisschen schwerer.ein cron job periodisch wiederholen sie den vorgang mit neuen randomisierte adressen zu allen prelinked ausführbaren dateien und bibliotheken aktualisiert.die andere option, ich fand, war dieser eigenschaften tests komplett zu deaktivieren.wenn sie die datei / etc / rkhunter.conf und suchen nach den disable_tests linie ändern.disable_tests = "suspscan hidden_procs deleted_files packet_cap_apps apps eigenschaften"der test ist eine überprüfung und eigenschaften wieder fehlalarm auf file hashes.
Übersetzt wird, bitte warten..
Andere Sprachen
Die Übersetzung Tool-Unterstützung: Afrikaans, Albanisch, Amharisch, Arabisch, Armenisch, Aserbaidschanisch, Baskisch, Bengalisch, Birmanisch, Bosnisch, Bulgarisch, Cebuano, Chichewa, Chinesisch, Chinesisch Traditionell, Deutsch, Dänisch, Englisch, Esperanto, Estnisch, Filipino, Finnisch, Französisch, Friesisch, Galizisch, Georgisch, Griechisch, Gujarati, Haitianisch, Hausa, Hawaiisch, Hebräisch, Hindi, Hmong, Igbo, Indonesisch, Irisch, Isländisch, Italienisch, Japanisch, Javanisch, Jiddisch, Kannada, Kasachisch, Katalanisch, Khmer, Kinyarwanda, Kirgisisch, Klingonisch, Koreanisch, Korsisch, Kroatisch, Kurdisch (Kurmandschi), Lao, Lateinisch, Lettisch, Litauisch, Luxemburgisch, Malagasy, Malayalam, Malaysisch, Maltesisch, Maori, Marathi, Mazedonisch, Mongolisch, Nepalesisch, Niederländisch, Norwegisch, Odia (Oriya), Paschtu, Persisch, Polnisch, Portugiesisch, Punjabi, Rumänisch, Russisch, Samoanisch, Schottisch-Gälisch, Schwedisch, Serbisch, Sesotho, Shona, Sindhi, Singhalesisch, Slowakisch, Slowenisch, Somali, Spanisch, Sprache erkennen, Suaheli, Sundanesisch, Tadschikisch, Tamil, Tatarisch, Telugu, Thailändisch, Tschechisch, Turkmenisch, Türkisch, Uigurisch, Ukrainisch, Ungarisch, Urdu, Usbekisch, Vietnamesisch, Walisisch, Weißrussisch, Xhosa, Yoruba, Zulu, Sprachübersetzung.
- الحمدلله على السلامة
- Smart Consumers
- الحمدلله على السلامة
- Economics for Everyday Life
- الحمدلله على السلامة
- Environmental Science in Today's world
- Law and Modem World
- amina zikki
- Environmental Science in Today's world
- Muy Malo io suyo ataco unabhängig Base q
- Jesteś ukochany
- La ila ilalao Mahamadou rassoulilaïMaham
- Environmental Science in Today's world
- family where life begins and love never
- Financal in Everyday Life
- La ila ilalao Mahamadou rassoulilaïMaham
- Der Angeschuldigte Alyiev schloss die Kl
- Jesteś kochany
- Please confirm and acknowledge your unde
- Ethical Reasoning
- الوووو
- your story isn't over yet
- الحمدلله على السلامة
- your story isn't over yet
