Vmlinuz nedir ve neden umursuyorum?

14

Sahip olduğumuz birkaç Ubuntu kutusundan birinde daha önce hiç görmediğim bir ağ uyarısı aldım:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Kontrol toplamı vmlinuzdeğişti. Wikipedia'dan bunun çekirdekle bir ilgisi olduğunu görüyorum .

Sağlama toplamının değişmesine dikkat etmeli miyim? Bu belirli sunucu, 3. taraf eklentilerindeki güvenlik açıkları ile bilinen Wordpress'i çalıştırıyor, bu yüzden uyarıları oldukça ciddiye alıyorum.

Bu sunucunun güvenliğinin ihlal edildiği sonucuna varıyorum. /var/log/apache2/access.log0 bayt olduğu gibi üzülmekten daha güvenli ve orada biraz (çok değil, ama biraz) veri olmalı ve izlerini kapsayan bir şey (büyük olasılıkla bir bot) gibi görünüyor. Dün gece yedeklemeyi çıkarma zamanı :)

linux  ubuntu  alerts  vmlinuz 
Mark Henderson
kaynak
Ubuntu'da , bir çeşit barındırılan VM olmadığı sürece, sistemler /vmlinuzbir çekirdek için sembolik olmalıdır /boot/vmlinux-?.?.?-???.
Zoredache
@Zoredache - evet,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Yanıtlar:

11

Bu sıkıştırılmış çekirdek ve siz bilmeden değişmiş olup olmadığına dikkat etmelisiniz, çünkü çekirdek değiştirilirse, herhangi bir saldırıya açık olabilirsiniz. Bu meşru bir neden olabilir, ancak emin olmadığınız sürece değiştirilen çekirdeğe güvenmemelisiniz.

johnshen64
kaynak
5

Bu yapmak zorunda şey değildir ile Çekirdeğiniz, bu ise sizin çekirdek. Yeniden başlatırsanız ve bu dosya bozuksa, atasözü bok atasözü fanını vuracaktır.

Mesajda belirtilen zamanda bir çekirdek güncellemeniz var mı?

wzzrd
kaynak
Tamam sıra sonraki aptalca soru (% 99 Windows makineleri ile ilgileniyorum), bir çekirdek güncellemesi için nasıl kontrol edebilirim? Bu sunucu neredeyse hiç oturum açmadı, bu yüzden bir şey manuel olarak tetiklendi şüpheliyim.
Mark Henderson
Birinin çekirdeği yükseltmesi için giriş yapmış olup olmadığını kontrol edin: last -i ve geçmiş (uygun-get / aptitude güncellemesi ve yükseltmesi arayın). Bazı otomatik güncellemelerin açık olup olmadığını kontrol edin (iirc ubuntu'nun bazı yardımları vardır . Subuntu.com/community/AutomaticSecurityUpdates ).
@MarkHenderson '' stat / vmlinuz '' ile erişimi kontrol edin, değiştirin ve değiştirin. Güncellemeleri muhtemelen '' /var/log/dpkg.log '' bölümünde görebilmelisiniz. Ancak, makine otomatik güncellemeler için yapılandırılmamışsa, bu çok az göstermelidir.
wzzrd
Cron işlerini de kontrol edin, bazı paket yöneticileri otomatik olarak cron üzerinden güncelleme yapar.
5

I see from Wikipedia that this has something to do with the kernel

Bu yetersiz bir ifadedir: vmlinuz dosyası çekirdeğin kendisidir. Sunucunuzu önyüklediğinizde yüklenen bu dosyadır, daha sonra sıkıştırılmamış olur (bu nedenle 'z') ve sonra başlatılır.

Yeni bir çekirdeği yeniden derlediyseniz veya yüklediyseniz endişelenecek bir şey yoktur. Böyle bir şey yapmadıysanız, bu dosyaya yakından bakın veya iyi bir sürümle değiştirin.

Bu dosyayı salt okunur yapmak chattr ve kökün yeniden başlatılmasına kadar yeniden başlatmak da iyi bir fikirdir.

Hennes
kaynak
3

Bu sıkıştırılmış (dolayısıyla "z") çekirdek görüntüsüdür. Çekirdek yükseltme işlemi gerçekleştirdiğinizde kısa süreliğine değişmemiş olmalıydı.

Bunun bir güvenlik açığından kaynaklanabileceğinden şüphelendiğinizi tahmin ediyorum, ancak bildiğiniz gibi, altta yatan disk veya fs sorunlarından da kaynaklanıyor olabilir, bu durumda diğer dosya sistemi hata günlüklerini görmelisiniz. Her iki durumda da kontrol edilmesi gereken bir şey.

EEAA
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.