En ciertas ocasiones resulta útil entender que archivos han sido recibidos con paquetes rpm que han sido modificados, esto es un buen indicador de que customizaciones han sido hechas en el sistema. Para determinar los archivos modificados, simplemente corre:
% rpm -qa | xargs rpm --verify --nomtime | less# Ejemplo de Salida:
missing /usr/local/src
.M...... /bin/ping6
.M...... /usr/bin/chage
.M...... /usr/bin/gpasswd
....L... c /etc/pam.d/system-auth
.M...... /usr/bin/chfn
.M...... /usr/bin/chsh
S.5..... c /etc/rc.d/rc.local
S.5..... c /etc/sysctl.conf
S.5..... c /etc/ssh/sshd_config
S.5..... c /etc/updatedb.confUsando este truco, puedes determinar que archivos de conflagración han sido modificados así como cualquier metadata de información (dueño, enlace, etc)
Fuente.
Entradas
0 comentarios:
Publicar un comentario en la entrada