FreeBSD QandA 1176

FreeBSD QandA

Q. root 宛に cron で毎日送られてくる security check output に、
       checking setuid files and devices:
       マシン名 setuid diffs:
       27c27
       < -r-sr-xr-x  5 root bin   290816 Mar 13 19:01:45 1998 /usr/bin/hoststat
       ---			     
       > -r-sr-xr-x  5 root bin   290816 Jul 27 02:00:05 1998 /usr/bin/hoststat
       36c36
       < -r-sr-xr-x  5 root bin   290816 Mar 13 19:01:45 1998 /usr/bin/mailq
       ---			     
       > -r-sr-xr-x  5 root bin   290816 Jul 27 02:00:05 1998 /usr/bin/mailq
   などと書いてあり、タイムスタンプが変更されている様です。何が起こったの
   でしょうか。

A. security check では、suid や sgid されたファイルについて、タイムス
   タンプやファイルサイズを含む差分を毎日作成して、管理者向けにメールを送
   ります。

   自分あるいは他の管理者がバージョンアップやインストール作業をした場合は、
   作業内容と変更点の照合を行い、不審な点がないかを調べれば良いでしょう。

   自分あるいは他の管理者が誰も作業を行っていない筈なのに、変更点が送られ
   て来た場合は、オリジナルのファイルが残っていれば、md5(1) あるいは
   diff(1) でファイル自体が修正されているかどうかを調べます。

   ファイル自体が修正されている場合は、侵入者の痕跡である可能性があります。

   ファイル自体が変更されていない場合、OS 自体のバグによるものと考えられ
   ます。以下の記事で始まるスレッドが参考になるでしょう。

       <URL:http://www.FreeBSD.org/cgi/getmsg.cgi?fetch=304254+0+/usr/local/www/db/text/1996/freebsd-security/19961117.freebsd-security>
       <URL:http://www.FreeBSD.org/cgi/getmsg.cgi?fetch=152764+0+/usr/local/www/db/text/1998/freebsd-security/19980726.freebsd-security>

   このような場合に備えて、find(1)md5(1) などを利用して、あまり変更され
   ないはずのファイルの一覧を作っておくのは良い考えです

間違い・追加情報を見付けた場合は、 修正案の投稿のしかた を読んだ上で、
QandA@jp.FreeBSD.org まで お知らせください。