Recebi um email da checksecurity do meu servidor Ubuntu 12.04 com o seguinte conteúdo:
--- setuid.today 2012-06-03 06:48:09.892436281 +0200
+++ /var/log/setuid/setuid.new.tmp 2012-06-17 06:47:51.376597730 +0200
@@ -30,2 +30,2 @@
- 131904 4755 2 root root 71280 Wed May 16 07:23:08.0000000000 2012 ./usr/bin/sudo
- 131904 4755 2 root root 71280 Wed May 16 07:23:08.0000000000 2012 ./usr/bin/sudoedit
+ 143967 4755 2 root root 71288 Fri Jun 1 05:53:44.0000000000 2012 ./usr/bin/sudo
+ 143967 4755 2 root root 71288 Fri Jun 1 05:53:44.0000000000 2012 ./usr/bin/sudoedit
@@ -42 +42 @@
- 130507 666 1 root root 0 Sat Jun 2 18:04:57.0752979385 2012 ./var/spool/postfix/dev/urandom
+ 130507 666 1 root root 0 Mon Jun 11 08:47:16.0919802556 2012 ./var/spool/postfix/dev/urandom
Como o checksecurity é executado em /etc/cron.daily, fiquei imaginando por que só recebo esse email agora. Eu olhei em / var / log / setuid / e encontrei os seguintes arquivos:
total 32
-rw-r----- 1 root adm 816 Jun 17 06:47 setuid.changes
-rw-r----- 1 root adm 228 Jun 3 06:48 setuid.changes.1.gz
-rw-r----- 1 root adm 328 May 27 06:47 setuid.changes.2.gz
-rw-r----- 1 root root 1248 May 20 06:47 setuid.changes.3.gz
-rw-r----- 1 root adm 4473 Jun 17 06:47 setuid.today
-rw-r----- 1 root adm 4473 Jun 3 06:48 setuid.yesterday
A coisa mais óbvia que me confunde é que o arquivo setuid.yesterday não é de ontem = junho / 16.
Isso é um bug?