jueves, 25 de junio de 2009

Determinar cambios en un sistema basado en RPM

En ciertas ocasiones resulta útil entender que archivos han sido recibidos con paquetes rpm que han sido modificados, esto es un buen indicador de que customizaciones han sido hechas en el sistema. Para determinar los archivos modificados, simplemente corre:

% rpm -qa | xargs rpm --verify --nomtime | less

# Ejemplo de Salida:

missing     /usr/local/src
.M......    /bin/ping6
.M......    /usr/bin/chage
.M......    /usr/bin/gpasswd
....L...  c /etc/pam.d/system-auth
.M......    /usr/bin/chfn
.M......    /usr/bin/chsh
S.5.....  c /etc/rc.d/rc.local
S.5.....  c /etc/sysctl.conf
S.5.....  c /etc/ssh/sshd_config
S.5.....  c /etc/updatedb.conf

Usando este truco, puedes determinar que archivos de conflagración han sido modificados así como cualquier metadata de información (dueño, enlace, etc)

Fuente.
Publicado por comulinux en 15:43

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)