Що таке vmlinuz і чому я дбаю?

14

Щойно я отримав попередження про мережу, якого я ніколи не бачив, про одну з небагатьох скриньок Ubuntu, які ми маємо:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Контрольна сума vmlinuzзмінена. Я бачу з Вікіпедії, що це має щось спільне з ядром.

Чи повинен мені хвилюватися, що контрольна сума змінилася? Цей конкретний сервер запускає Wordpress, який відомий вразливістю у своїх сторонніх плагінах, тому я схильний сприймати сповіщення від нього досить серйозно.

Я роблю висновок, що цей сервер був порушений. Краще безпечніше, ніж вибачте, як /var/log/apache2/access.logі 0 байтів, і там має бути трохи (не багато, але трохи) даних, і це чітко схоже на те, що щось (бот, швидше за все) покриває їх доріжки. Час витягнути резервну копію минулої ночі :)

— Марк Хендерсон
джерело

У системах Ubuntu /vmlinuzповинно бути символічним ядро під /boot/vmlinux-?.?.?-???, якщо тільки це не якась розміщена VM.

— Зоредаче

@Zoredache - так,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— Марк Хендерсон

11

Це стиснене ядро, і вам слід подбати про те, щоб воно колись змінювалося, не знаючи про нього, адже якщо ядро було замінено, ви могли б бути відкритими для будь-якої атаки. Це може бути законною причиною, але, якщо ви не впевнені, не слід довіряти зміненому ядру.

— johnshen64
джерело

5

Це не те , що повинно робити з вашим ядром, то є ядро. Якщо ви перезавантажите файл, і цей файл пошкоджений, поговорне лайно вдарить до прислівника.

Чи було у вас оновлення ядра на час, зазначений у повідомленні?

— wzzrd
джерело

Ок черги, наступне запитання про тупик (я маю справу з 99% машинами Windows), як я можу перевірити оновлення ядра? Цей сервер майже ніколи не входить у систему, тому я дуже сумніваюся, що щось було запущено вручну.

— Марк Хендерсон

перевірте, чи хтось вчора увійшов для оновлення ядра: last -i та історія (шукайте оновлення apt-get / aptitude та оновлення). Перевірте, чи ввімкнено деякі автоматичні оновлення (iirc ubuntu має деякі help.ubuntu.com/community/AutomaticSecurityUpdates ).

@MarkHenderson Перевірте дати, змініть та змініть дати за допомогою '' stat / vmlinuz ''. Ви, ймовірно, зможете побачити оновлення в '' /var/log/dpkg.log ''. Однак якщо машина не налаштована на автоматичне оновлення, це повинно показувати дуже мало.

— wzzrd

Перевірте також завдання cron, деякі менеджери пакунків автоматично робитимуть оновлення через cron.

5

I see from Wikipedia that this has something to do with the kernel

Це заниження: файл vmlinuz - це саме ядро. Саме цей файл завантажується під час завантаження сервера, потім він не стискається (звідси 'z'), а потім запускається.

Якщо ви перекомпілювали або встановили нове ядро, то турбуватися нема про що. Якщо ви цього не зробили, уважно подивіться на цей файл або замініть його на добре знаю версію.

Зробити цей файл лише для читання chattr та заборонити root змінювати це лише після перезавантаження - це також хороша ідея.

— Геннес
джерело

3

Це стиснене (звідси "z") ядро зображення. Він не міг би змінитися, якщо ви здійснили оновлення ядра.

Я б здогадувався, що ви сумніваєтесь, що це може бути пов’язано з уразливістю, але, як ви знаєте, це також може бути пов’язане з основними проблемами з диском або fs, і в цьому випадку ви повинні бачити інші журнали помилок файлової системи. Так чи інакше, це щось перевірити.

— EEAA
джерело