FreeBSD QandA 1176
Q. root 宛に cron で毎日送られてくる security check output に、
checking setuid files and devices:
マシン名 setuid diffs:
27c27
< -r-sr-xr-x 5 root bin 290816 Mar 13 19:01:45 1998 /usr/bin/hoststat
---
> -r-sr-xr-x 5 root bin 290816 Jul 27 02:00:05 1998 /usr/bin/hoststat
36c36
< -r-sr-xr-x 5 root bin 290816 Mar 13 19:01:45 1998 /usr/bin/mailq
---
> -r-sr-xr-x 5 root bin 290816 Jul 27 02:00:05 1998 /usr/bin/mailq
などと書いてあり、タイムスタンプが変更されている様です。何が起こったの
でしょうか。
A. security check では、suid や sgid されたファイルについて、タイムス
タンプやファイルサイズを含む差分を毎日作成して、管理者向けにメールを送
ります。
自分あるいは他の管理者がバージョンアップやインストール作業をした場合は、
作業内容と変更点の照合を行い、不審な点がないかを調べれば良いでしょう。
自分あるいは他の管理者が誰も作業を行っていない筈なのに、変更点が送られ
て来た場合は、オリジナルのファイルが残っていれば、md5(1) あるいは
diff(1) でファイル自体が修正されているかどうかを調べます。
ファイル自体が修正されている場合は、侵入者の痕跡である可能性があります。
ファイル自体が変更されていない場合、OS 自体のバグによるものと考えられ
ます。以下の記事で始まるスレッドが参考になるでしょう。
<URL:http://www.FreeBSD.org/cgi/getmsg.cgi?fetch=304254+0+/usr/local/www/db/text/1996/freebsd-security/19961117.freebsd-security>
<URL:http://www.FreeBSD.org/cgi/getmsg.cgi?fetch=152764+0+/usr/local/www/db/text/1998/freebsd-security/19980726.freebsd-security>
このような場合に備えて、find(1)、md5(1) などを利用して、あまり変更され
ないはずのファイルの一覧を作っておくのは良い考えです
間違い・追加情報を見付けた場合は、
修正案の投稿のしかた を読んだ上で、
QandA@jp.FreeBSD.org まで
お知らせください。