Tripwire reportando um / dev / char alterado

3

Isso foi em um recente relatório Tripwire de um servidor Debian Linux (virtual):

### Attr        Observed (what it is)         Expected (what it should be)
### =========== ============================= =============================
/dev/char/253:0
    md5 (sig1): 3cArKelJk8b0VTK4Q80.nV        3Z4Cv6zdER0tKfg3lDqPM3

Primeiro de tudo, o que é /dev/char/253:0 ? Em segundo lugar, devo estar preocupado com a mudança?

UPDATE. Um dos meus colegas disse que isso pode acontecer com uma reinicialização do servidor, que, desde que eu reinicializei o servidor no dia anterior, é provavelmente o que acionou o alerta do Tripwire.

    
por user35042 20.06.2012 / 17:42

1 resposta

2

A pasta / dev é onde o linux armazena arquivos geralmente associados a dispositivos. A maioria deles são arquivos especiais que são mapeados ou vinculados a dispositivos individuais, como discos rígidos, CD-ROMs, dispositivos USB, etc.

Parece-me que monitorar esses arquivos em busca de alterações resultaria na detecção de muitas alterações, dependendo do dispositivo e de como o arquivo é usado. Eu não tenho trabalhado com um diretório / char com muita freqüência, mas acredito que ele contém "Character Devices", que são interfaces de caracter / sterame, ao contrário de dispositivos de bloco, como discos rígidos e CD-ROMs.

Para responder à sua pergunta, eu acho que você poderia desconsiderar esta mensagem com segurança, depois de confirmar que qualquer dispositivo mapeado para 253: 0 é esperado.

Para mais informações, confira:

link

e

link

    
por 20.06.2012 / 17:58