rkhunter:过了几天，我发现“自从上次运行以来，系统已经改变为不使用预链接。”

Question

我们在这里运行一个(新的) CentOS 7系统。为了观察系统对抗无效的更改/黑客攻击，我们每晚运行rkhunter。另外，在每次更新(yum)之后，我们都会预先链接所有，并运行"rkhunter“。

这个没问题。但是过了几天，我们得到了以下错误：

[03:55:02] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
           is used, all the files on their system are known to be genuine, and installed from a
           reliable source. The rkhunter '--check' option will compare the current file properties
           against previously stored values, and report if any values differ. However, rkhunter
           cannot determine what has caused the change, that is for the user to do.
...
...
...
[03:55:04] Warning: Checking for prerequisites               [ Warning ]
[03:55:04]          The local host configuration or operating system has changed.
[03:55:05]   /usr/sbin/adduser                               [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/adduser' in the 'rkhunter.dat' file.
[03:55:05]   /usr/sbin/chkconfig                             [ Warning ]
[03:55:05] Warning: No inode value found for file '/usr/sbin/chkconfig' in the 'rkhunter.dat' file.
[03:55:05]   /usr/sbin/chroot                                [ Warning ]

我们确信服务器没有被黑客攻击。因为我们已经检查了一些二进制文件的日期和大小。我们还创建了其中一些文件的校验和。在rkhunter警告发生后，所有文件都是相同的和未更改的。

但我们想知道为什么要警告.

有什么想法吗？

编辑：

在rkhunter日志文件中还有另一个警告：

[03:55:05] Warning: The system has changed to not using prelinking since the last run.
[03:55:05]          Because of the change(s) the file properties checks may give some false-positive results.
[03:55:05]          You may need to re-run rkhunter with the '--propupd' option.

这也是解决办法。看我下面的答案..。

Answer 1

找到了！今天，我研究了几个日志文件。所以我找到了一个预链接日志文件。日志文件显示正在运行预链接进程。在cron文件中搜索预链接作业之后，我在/etc/cron.daily中找到了它。我确信这就是rkhunter警告的原因.