09.06.2011 19:22

Dateiüberwachung

Heute fand ich folgende E-Mail von root im Posteingang:

Betreff: ALERT: [fcheck] bluestar.domo.reto 

PROGRESS: validating integrity of Files
STATUS: passed...

[...]

PROGRESS: validating integrity of /etc/
STATUS:
        WARNING: [bluestar] /etc/ld.so.cache
        [Inodes: 24541 - 27518, Times: May 30 17:01 2011 - Jun 08 19:33 2011]

[...]

PROGRESS: validating integrity of /usr/bin/
STATUS:
        WARNING: [bluestar] /usr/bin/xmlcatalog
        [Inodes: 409492 - 407499, Times: May 30 17:01 2011 - Jun 08 19:33 2011, CRCs: 100a7a989ca3d2d64bc580300f4cfd5138a6416e2a72c7143c14314cfdbdffa9 - a039f557f97beb60a1365e664194884723c38b38282e52344c72f42ca9c446d6]

        WARNING: [bluestar] /usr/bin/xmllint
        [Inodes: 409491 - 407509, Times: May 30 17:01 2011 - Jun 08 19:33 2011, CRCs: 0fed3a5525aacdabbf7847f47a1c12704f8e2dc510157638c2cce9f2cf7b6056 - a37b8ee42022b97b04f941a244110ffbf1740eeca485f1f72b9ce0e120b7022e]

[...]

PROGRESS: validating integrity of /usr/lib/
STATUS:
        WARNING: [bluestar] /usr/lib/libxml2.so.2
        [Inodes: 196299 - 197246, Times: Jan 02 09:50 2011 - Jun 08 19:33 2011, CRCs: SYMLINK:f303efc2b6f7255788f0823ce546fd0a6bb9e4b6730afad9c45883d6db77fc86 - SYMLINK:1f9fcebf8d9c8e05e3acd56dddd450be22f9faa9156fb22e5cc201ecb180b227]

        WARNING: [bluestar] /usr/lib/libxml2.so.2.7.8
        [Inodes: 196299 - 197246, Times: Jan 02 09:50 2011 - Jun 08 19:33 2011, CRCs: f303efc2b6f7255788f0823ce546fd0a6bb9e4b6730afad9c45883d6db77fc86 - 1f9fcebf8d9c8e05e3acd56dddd450be22f9faa9156fb22e5cc201ecb180b227]

Die Meldung stammt vom Programm fcheck. Was tut es?

whatis fcheck 
fcheck (8)           - IDS filesystem baseline integrity checker

Offenbar wurden bestimmte Dateien verändert, die von fcheck in regelmäßigen Abständen geprüft werden. Dies könnte mit der Softwareaktualisierung vom gestrigen Tage zu tun haben. Eine kleine Untersuchung soll Klarheit schaffen:

root@bluestar:~# dpkg -S /etc/ld.so.cache 
dpkg: /etc/ld.so.cache nicht gefunden.
root@bluestar:~# dpkg -S /usr/bin/xmlcatalog 
libxml2-utils: /usr/bin/xmlcatalog
root@bluestar:~# dpkg -S /usr/bin/xmllint 
libxml2-utils: /usr/bin/xmllint
root@bluestar:~# dpkg -S /usr/lib/libxml2.so.2 
libxml2: /usr/lib/libxml2.so.2
root@bluestar:~# dpkg -S /usr/lib/libxml2.so.2.7.8 
libxml2: /usr/lib/libxml2.so.2.7.8
Vier der Änderungen rühren also tatsächlich direkt vom Softwareupdate her. Die Änderung an der Datei /etc/ld.so.cache ist darauf zurück zu führen, dass zwei neue Bibliotheken im Ordner /usr/lib installiert wurden.
man ld.so 
/etc/ld.so.cache  File containing a compiled list of directories in which to 
                  search for libraries and an ordered list of candidate libraries.

Geschrieben von root | Permanenter Link | Kategorien: Verwaltung
/\