/usr/bin/gpg md5sum 失败;CentOS gpg 包?

/usr/bin/gpg md5sum 失败;CentOS gpg 包?

我正在运行 CentOS 6.3。

我有一个工具可以监控系统二进制文件的 md5sum 哈希值,并在发生更改时通过电子邮件通知我。显然,每当我通过 运行系统更新时yum,此 md5sum 检查都会指示哈希值已更改。

今天早上,我醒来发现一封奇怪的电子邮件,发现 /usr/bin/gpg 和 co 已经发生了变化:

/usr/bin/gpg: FAILED
/usr/bin/gpg2: FAILED
/usr/bin/gpg-agent: FAILED
/usr/bin/gpgconf: FAILED
/usr/bin/gpg-connect-agent: FAILED
/usr/bin/gpg-error: FAILED
/usr/bin/gpgkey2ssh: FAILED
/usr/bin/gpgsplit: FAILED
/usr/bin/gpgv: FAILED
/usr/bin/gpgv2: FAILED
/sbin/cryptsetup: FAILED

我现在正在寻找实际包含这些二进制文件的包,以便我可以yum info在其上运行并对我的系统上的内容与我当前使用的 CentOS 存储库中当前可用的内容执行 md5sum 比较。

发送这封电子邮件时没有运行任何 cron 作业,因此我非常困惑除了安全漏洞之外,这怎么会发生。

然而,另一方面,这台服务器非常新(大约 2 周前),完全是最新的,在过去的 2 天内,我们已经将其投入生产。位于 IP 表顶部的应用程序防火墙正在监控日志、失败的登录尝试等...,并且这台机器上的所有服务都正常运行。如果真的存在安全漏洞,我会非常惊讶。

我在日志中没有发现任何可疑的东西。

所以...

  1. 哪个 CentOS 软件包包含 /usr/bin/gpg 二进制文件?每次我在 Google 上搜索时,我都会被人们使用 gpg 检查其他 RPM 上的 gpg 签名的结果淹没,所以我很难深入搜索。
  2. 有什么(理智的)理由让我认为该服务器尚未被攻破?

答案1

  1. “rpm -qf <filename>” 将为您提供包含您指定的文件名的包的名称。

  2. 是的 - 恕我直言,如果它被攻破,将会有大量文件被更改。话虽如此,我不确定您是否会注意到它们 - 如果入侵足够复杂,您的警报脚本将被禁用和/或替换。

相关内容