安全审计团队在我所在的公司管理的一些 Linux 服务器上安装了文件完整性管理解决方案。他们正在向我们询问有关 /var/lib/rpm/__db.xxx 文件被删除和更改的一些警报。
我必须告诉他们更改/删除这些文件的原因。有人能解释一下这些文件是什么以及为什么它们经常被更改吗?
答案1
什么,是的;为什么,不是。您必须确定这是否得到授权。
鉴于这是 rpm db,更改的唯一原因是安装或升级软件包。检查软件包安装的时间安排。查看 yum.log 中的事件是否与文件审核一致。查看登录历史记录,看看是否有人在那时获得了 root 权限。