- Text
- Geschichte
5down vote+25 Updating files is oft
5
down vote
+25
Updating files is often done by writing a new file in the same directory followed by renaming the file on top of the old file. This method is usually applied to everything installed through a package manager, but also to any update performed to executables and libraries even if updated for other reasons.
This way of updating files ensure that any process opening the file will get either the old or the new, and not see anything changing in the file, which they have opened. It does mean that each time it is updated, you will actually have a new file with the same name, hence the inode number has changed.
I guess this is the reason for those files having a new inode number.
A security update could be one reason. But there is another possibility, which I first observed on Fedora Core 1, and that could very well have made it into Centos at some point.
Executables and libraries are being prelinked such that they can start faster and use less memory. During this process the load address is randomized to make exploiting security vulnerabilities a little bit harder. A cron job would periodically repeat the process with new randomized addresses causing all the prelinked executables and libraries to get updated.
The other option I found was to disable these properties tests completely. If you edit /etc/rkhunter.conf and look for the DISABLE_TESTS line and change it to:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"
The properties test is the one checking and returning false positives on the file hashes.
A changed inode number usually means the file has been replaced. It could as you say be due to an expected update. I'd verify the md5sums of those files match those of the distributed versions. If you have another comparable system around, it might be easiest to compare to that.
Take a look at the accepted answer at rkhunter reports change in file properties, but I don't see that they've been updated by yum for how to check which package those binaries are from.
It wouldn't be too surprising if those binaries were from a distribution which has been updated because of an issue with another binary which was changed, but the binaries you list were included in the new version of the package unchanged. Did your report also show some binary where the content was changed?
down vote
+25
Updating files is often done by writing a new file in the same directory followed by renaming the file on top of the old file. This method is usually applied to everything installed through a package manager, but also to any update performed to executables and libraries even if updated for other reasons.
This way of updating files ensure that any process opening the file will get either the old or the new, and not see anything changing in the file, which they have opened. It does mean that each time it is updated, you will actually have a new file with the same name, hence the inode number has changed.
I guess this is the reason for those files having a new inode number.
A security update could be one reason. But there is another possibility, which I first observed on Fedora Core 1, and that could very well have made it into Centos at some point.
Executables and libraries are being prelinked such that they can start faster and use less memory. During this process the load address is randomized to make exploiting security vulnerabilities a little bit harder. A cron job would periodically repeat the process with new randomized addresses causing all the prelinked executables and libraries to get updated.
The other option I found was to disable these properties tests completely. If you edit /etc/rkhunter.conf and look for the DISABLE_TESTS line and change it to:
DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"
The properties test is the one checking and returning false positives on the file hashes.
A changed inode number usually means the file has been replaced. It could as you say be due to an expected update. I'd verify the md5sums of those files match those of the distributed versions. If you have another comparable system around, it might be easiest to compare to that.
Take a look at the accepted answer at rkhunter reports change in file properties, but I don't see that they've been updated by yum for how to check which package those binaries are from.
It wouldn't be too surprising if those binaries were from a distribution which has been updated because of an issue with another binary which was changed, but the binaries you list were included in the new version of the package unchanged. Did your report also show some binary where the content was changed?
0/5000
5nach Abstimmung+ 25 Aktualisieren von Dateien erfolgt oft durch eine neue Datei in das gleiche Verzeichnis, gefolgt durch Umbenennen der Datei auf die alte Datei schreiben. Dieses Verfahren ist in der Regel alles über einen Paket-Manager installiert, sondern auch ein Update durchgeführt, um ausführbare Dateien und Bibliotheken, selbst wenn aus anderen Gründen aktualisiert.Diese Art der Aktualisierung der Dateien zu gewährleisten, dass jeder Prozess öffnen der Datei die alte oder die neue, und nicht etwas ändern in der Datei, die sie geöffnet haben, sehen. Es bedeutet, dass jedes Mal, wenn es aktualisiert wird, habt ihr eigentlich eine neue Datei mit demselben Namen, damit die Inode-Nummer hat sich geändert.Ich denke, dies ist der Grund für diese Dateien haben eine neue Inode-Nummer.Eine Sicherheits-Update könnte ein Grund sein. Aber gibt es eine andere Möglichkeit, die ich zuerst auf Fedora Core 1 beobachtet, und das sehr gut hätte es in Centos zu einem bestimmten Zeitpunkt.Ausführbaren Dateien und Bibliotheken sind prelinked werden, so dass sie schneller starten und weniger Speicher verwenden. Während dieses Prozesses ist die Ladeadresse randomisiert, um Ausbeutung Sicherheitslücken ein wenig schwerer zu machen. Ein Cron-Job würde mit neuen randomisierten Adressen, wodurch die prelinked ausführbare Dateien und Bibliotheken aktualisiert erhalten in regelmäßigen Abständen den Vorgang wiederholen.Die andere Option, die ich gefunden wurde, diese Eigenschaften Tests komplett zu deaktivieren. Wenn Sie /etc/rkhunter.conf bearbeiten und suchen Sie nach der DISABLE_TESTS Linie und ändern Sie ihn auf:DISABLE_TESTS = "Suspscan Hidden_procs Deleted_files Packet_cap_apps apps Eigenschaften"Der Eigenschaften-Test ist die Überprüfung und Fehlalarme auf die Datei Hashes.Eine geänderte Inode-Nummer bedeutet normalerweise, dass die Datei ersetzt wurde. Aufgrund eines erwarteten Updates könnte es wie du sagst. Ich würde überprüfen, ob die md5sums dieser Dateien mit denen der verteilten Versionen übereinstimmen. Haben Sie ein anderes vergleichbares System herum, es möglicherweise am einfachsten, die verglichen werden soll.Werfen Sie ein Blick auf die akzeptierte Antwort auf Rkhunter berichtet in Dateieigenschaften ändern, aber ich sehe nicht, dass sie aktualisiert haben, von Yum für gewusst wie: überprüfen, welche diese Binärdateien packen entstammen.Es wäre allzu überraschend, wenn diese Binärdateien von einem Verteilung waren, die aufgrund eines Problems mit einem anderen binären aktualisiert hat, was geändert wurde, aber die Binär-Dateien, die Sie Liste wurden in die neue Version des Pakets unverändert. Zeigten Ihr Bericht auch einige binäre wo der Inhalt geändert wurde?
Übersetzt wird, bitte warten..
5
nach unten Abstimmung
+25 Updaten der Dateien erfolgt oft durch eine neue Datei im gleichen Verzeichnis gefolgt schreiben , indem Sie die Datei auf der alten Datei umbenennen. Diese Methode ist in der Regel alles , was über einen Paket - Manager installiert angewendet, sondern auch auf jedem Update durchgeführt , um ausführbare Dateien und Bibliotheken , wenn auch aus anderen Gründen aktualisiert. Auf diese Weise Dateien zu aktualisieren , sicherzustellen , dass jeder Prozess Öffnen der Datei erhalten entweder die alte oder die neue und nichts sehen in der Datei zu ändern, die sie geöffnet haben. Es bedeutet , dass jedes Mal aktualisiert wird, werden Sie tatsächlich eine neue Datei mit dem gleichen Namen haben, daher die Inode - Nummer hat sich geändert. Ich denke , dies ist der Grund für diese Dateien ist eine neue Inode - Nummer haben. Ein Sicherheitsupdate sein könnte Grund. Aber es gibt eine andere Möglichkeit, die ich zuerst 1 auf Fedora Core beobachtet, und das sehr gut es in Centos haben könnte irgendwann gemacht. Ausführbaren Dateien und Bibliotheken so vorgebundene werden , dass sie schneller starten und weniger Speicher. Während dieses Prozesses wird die Last - Adresse randomisiert , um Sicherheitslücken ein wenig schwieriger zu nutzen. Ein Cron - Job regelmäßig den Prozess mit neuen randomisierten Adressen wiederholen würde verursachen alle vorgebundenen ausführbaren Dateien und Bibliotheken aktualisiert. Die andere Option ich fand , war diese Eigenschaften Tests vollständig zu deaktivieren. Wenn Sie /etc/rkhunter.conf bearbeiten und für die DISABLE_TESTS Linie suchen und ändern Sie es zu: DISABLE_TESTS = "suspscan hidden_procs deleted_files packet_cap_apps apps Eigenschaften" . Die Eigenschaften Test ist die eine Überprüfung und Rückkehr Fehlalarme auf die Datei - Hashes A geändert Inode - Nummer in der Regel bedeutet , dass die Datei ersetzt wurde. Es könnte , wie Sie auf eine erwartete Update fällig sagen. Ich würde überprüfen , die MD5 - Summen der Dateien die der verteilten Versionen entsprechen. Wenn Sie ein anderes vergleichbares System um sich zu haben, könnte es sein , am einfachsten zu , dass zu vergleichen. Werfen Sie einen Blick auf die akzeptierte Antwort auf rkhunter Berichte in den Dateieigenschaften ändern, aber ich sehe nicht , dass sie von yum aktualisiert habe , wie Sie überprüfen welches Paket diese Binärdateien aus. Es wäre nicht allzu überraschend, wenn diese Programme von einer Verteilung waren die aufgrund eines Problems aktualisiert wurde mit einem anderen binären , die geändert wurde, aber die Binärdateien Sie Liste wurden in der neuen Version des Pakets enthalten unverändert. Hat Ihr Bericht auch einige binäre zeigen , wo der Inhalt geändert wurde?
nach unten Abstimmung
+25 Updaten der Dateien erfolgt oft durch eine neue Datei im gleichen Verzeichnis gefolgt schreiben , indem Sie die Datei auf der alten Datei umbenennen. Diese Methode ist in der Regel alles , was über einen Paket - Manager installiert angewendet, sondern auch auf jedem Update durchgeführt , um ausführbare Dateien und Bibliotheken , wenn auch aus anderen Gründen aktualisiert. Auf diese Weise Dateien zu aktualisieren , sicherzustellen , dass jeder Prozess Öffnen der Datei erhalten entweder die alte oder die neue und nichts sehen in der Datei zu ändern, die sie geöffnet haben. Es bedeutet , dass jedes Mal aktualisiert wird, werden Sie tatsächlich eine neue Datei mit dem gleichen Namen haben, daher die Inode - Nummer hat sich geändert. Ich denke , dies ist der Grund für diese Dateien ist eine neue Inode - Nummer haben. Ein Sicherheitsupdate sein könnte Grund. Aber es gibt eine andere Möglichkeit, die ich zuerst 1 auf Fedora Core beobachtet, und das sehr gut es in Centos haben könnte irgendwann gemacht. Ausführbaren Dateien und Bibliotheken so vorgebundene werden , dass sie schneller starten und weniger Speicher. Während dieses Prozesses wird die Last - Adresse randomisiert , um Sicherheitslücken ein wenig schwieriger zu nutzen. Ein Cron - Job regelmäßig den Prozess mit neuen randomisierten Adressen wiederholen würde verursachen alle vorgebundenen ausführbaren Dateien und Bibliotheken aktualisiert. Die andere Option ich fand , war diese Eigenschaften Tests vollständig zu deaktivieren. Wenn Sie /etc/rkhunter.conf bearbeiten und für die DISABLE_TESTS Linie suchen und ändern Sie es zu: DISABLE_TESTS = "suspscan hidden_procs deleted_files packet_cap_apps apps Eigenschaften" . Die Eigenschaften Test ist die eine Überprüfung und Rückkehr Fehlalarme auf die Datei - Hashes A geändert Inode - Nummer in der Regel bedeutet , dass die Datei ersetzt wurde. Es könnte , wie Sie auf eine erwartete Update fällig sagen. Ich würde überprüfen , die MD5 - Summen der Dateien die der verteilten Versionen entsprechen. Wenn Sie ein anderes vergleichbares System um sich zu haben, könnte es sein , am einfachsten zu , dass zu vergleichen. Werfen Sie einen Blick auf die akzeptierte Antwort auf rkhunter Berichte in den Dateieigenschaften ändern, aber ich sehe nicht , dass sie von yum aktualisiert habe , wie Sie überprüfen welches Paket diese Binärdateien aus. Es wäre nicht allzu überraschend, wenn diese Programme von einer Verteilung waren die aufgrund eines Problems aktualisiert wurde mit einem anderen binären , die geändert wurde, aber die Binärdateien Sie Liste wurden in der neuen Version des Pakets enthalten unverändert. Hat Ihr Bericht auch einige binäre zeigen , wo der Inhalt geändert wurde?
Übersetzt wird, bitte warten..
5.nach abstimmung+ 25.aktualisierung der daten geschieht oft durch schreiben einer neuen datei im selben verzeichnis, gefolgt von der umbenennung der datei auf die alte datei.diese methode wird in der regel alles installiert werden, durch eine paket - manager, sondern auch ein update durchgeführt, um programme und libraries, wenn auch aus anderen gründen aktualisiert.diese art der aktualisierung der daten gewährleisten, dass jedes verfahren, das öffnen der datei werden auch die alten und die neuen, und sehen sich in der akte, die sie geöffnet.es bedeutet, dass jedes mal aktualisiert wird, werden sie tatsächlich noch eine neue datei mit dem gleichen namen, damit die inode - nummer hat sich geändert.ich schätze, das ist der grund für diese dateien mit einer neuen inode - nummer.ein sicherheits - update könnte ein grund sein.aber es gibt eine andere möglichkeit, die ich merkte zunächst auf fedora core 1, und das könnte sehr gut haben es in centos irgendwann.die ausführbaren dateien und bibliotheken werden prelinked derart, dass sie beginnen können, schneller und mit weniger speicher.während dieses prozesses der laden adresse randomisierte zu nutzen sicherheitslücken ein bisschen schwerer.ein cron job periodisch wiederholen sie den vorgang mit neuen randomisierte adressen zu allen prelinked ausführbaren dateien und bibliotheken aktualisiert.die andere option, ich fand, war dieser eigenschaften tests komplett zu deaktivieren.wenn sie die datei / etc / rkhunter.conf und suchen nach den disable_tests linie ändern.disable_tests = "suspscan hidden_procs deleted_files packet_cap_apps apps eigenschaften"der test ist eine überprüfung und eigenschaften wieder fehlalarm auf file hashes.ein anderer inode - nummer ist in der regel die datei ersetzt wurde.es könnte, wie sie sagen, durch eine erwartete update.ich würde überprüfen, die md5 - summen dieser dateien mit denen des verteilten versionen.wenn sie ein vergleichbares system herum, es wäre am einfachsten zu vergleichen.werfen sie einen blick auf die antwort auf rkhunter berichte angenommen in datei - eigenschaften, aber ich sehe nicht, dass sie dem lecker wie zu prüfen, welches paket die binärdateien aus.es wäre nicht überraschend, wenn diese programme auch aus einer verteilung, die aktualisiert wurde, weil sie ein problem mit einem binären wurde geändert, aber die müssen sie liste wurden in der neuen version des pakets unverändert.hat dein berichts zeigen auch einige binary - wo war der inhalt verändert?
Übersetzt wird, bitte warten..
Andere Sprachen
Die Übersetzung Tool-Unterstützung: Afrikaans, Albanisch, Amharisch, Arabisch, Armenisch, Aserbaidschanisch, Baskisch, Bengalisch, Birmanisch, Bosnisch, Bulgarisch, Cebuano, Chichewa, Chinesisch, Chinesisch Traditionell, Deutsch, Dänisch, Englisch, Esperanto, Estnisch, Filipino, Finnisch, Französisch, Friesisch, Galizisch, Georgisch, Griechisch, Gujarati, Haitianisch, Hausa, Hawaiisch, Hebräisch, Hindi, Hmong, Igbo, Indonesisch, Irisch, Isländisch, Italienisch, Japanisch, Javanisch, Jiddisch, Kannada, Kasachisch, Katalanisch, Khmer, Kinyarwanda, Kirgisisch, Klingonisch, Koreanisch, Korsisch, Kroatisch, Kurdisch (Kurmandschi), Lao, Lateinisch, Lettisch, Litauisch, Luxemburgisch, Malagasy, Malayalam, Malaysisch, Maltesisch, Maori, Marathi, Mazedonisch, Mongolisch, Nepalesisch, Niederländisch, Norwegisch, Odia (Oriya), Paschtu, Persisch, Polnisch, Portugiesisch, Punjabi, Rumänisch, Russisch, Samoanisch, Schottisch-Gälisch, Schwedisch, Serbisch, Sesotho, Shona, Sindhi, Singhalesisch, Slowakisch, Slowenisch, Somali, Spanisch, Sprache erkennen, Suaheli, Sundanesisch, Tadschikisch, Tamil, Tatarisch, Telugu, Thailändisch, Tschechisch, Turkmenisch, Türkisch, Uigurisch, Ukrainisch, Ungarisch, Urdu, Usbekisch, Vietnamesisch, Walisisch, Weißrussisch, Xhosa, Yoruba, Zulu, Sprachübersetzung.
- الحمدلله على السلامة
- Smart Consumers
- الحمدلله على السلامة
- Economics for Everyday Life
- الحمدلله على السلامة
- Environmental Science in Today's world
- amina zikki
- Environmental Science in Today's world
- Jesteś ukochany
- La ila ilalao Mahamadou rassoulilaïMaham
- Environmental Science in Today's world
- family where life begins and love never
- Financal in Everyday Life
- La ila ilalao Mahamadou rassoulilaïMaham
- Chemistry in Daily Life
- Der Angeschuldigte Alyiev schloss die Kl
- Jesteś kochany
- vögelngriffgrinsteumschreibungkein zwang
- Please confirm and acknowledge your unde
- Ethical Reasoning
- الوووو
- your story isn't over yet
- الحمدلله على السلامة
- your story isn't over yet
