论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2015-07-29 18:08 |只看该作者 |倒序浏览

本帖最后由信天翁于 2015-07-29 18:10 编辑

几台运行了5年的服务器，最初安装的CentOS 5.3-x64系统，后来一次次的都用yum升级到了CentOS 5.11-x64最新版, 今天突然发现几个服务器中/bin/下的 ls bash vi 等文件的MD5不同，甚至有的大小还不一样，但是使用 rpm -V -f /bin/ls /bin/bash /bin/vi 也没有发现异常，难道我是被黑了吗? 大家有没有发现这种情况？

[s1]# md5sum /bin/ls /bin/bash /bin/vi
4c3c02fb6fc031ddebefaf4e0ee1159c  /bin/ls
a1c6030033b1e809406feb3fc607a780  /bin/bash
241d58ef36f150b8bdb6247ffe0964da  /bin/vi

[s2]# md5sum /bin/ls /bin/bash /bin/vi
8cf93ced8c01dd3f3011f6614394421c  /bin/ls
e33a2a6b1b3b2aa915a5d25a605df961  /bin/bash
7783926340548d15d12913b6ca444623  /bin/vi

[s3]# md5sum /bin/ls /bin/bash /bin/vi
431c106e2a9547c238faca7d42e25b4b  /bin/ls
8cce22b0518f4c369f34b7357a6c54ad  /bin/bash
146bae65f48ff20ec0a9732e6c40f287  /bin/vi

[s4]# md5sum /bin/ls /bin/bash /bin/vi
b2acb7ef8663387cca3880334e9e77bf  /bin/ls
1ca293355cf21cbd216c47f8a9ddc965  /bin/bash
91988f3005d39fa148256448dacded69  /bin/vi

执行文件, 服务器

文库|博客

信天翁

丰衣足食

论坛徽章:: 1

2楼 [报告]

发表于 2015-07-29 18:19 |只看该作者

刚刚又在vmware上做了两个测试，
一个用我电脑上原有的centos 5.9-x64安装并yum升级到CentOS 5.11-x64最新版，发现/bin/bash跟直接从http://mirrors.neusoft.edu.cn/ce ... el5_11.4.x86_64.rpm下载解压出来bash大小和md5都不同
另一个直接下载http://mirrors.neusoft.edu.cn/ce ... 6_64-netinstall.iso并最小化安装，然后yum升级到最新，发现发现/bin/bash跟http://mirrors.neusoft.edu.cn/ce ... el5_11.4.x86_64.rpm里的bash是一样的。并且两个系统运行rpm -V -f /bin/ls /bin/bash /bin/vi 都没有异常，难道yum仓库有问题？可我用的都是系统默认的仓库。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phanx

富足长乐

论坛徽章:: 12

3楼 [报告]

发表于 2015-07-29 18:22 |只看该作者

先看看coreutils ， bash, vim-minimal 的版本是不是完全一致，完全一致的话大小和MD5应该完全一样。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

信天翁

丰衣足食

论坛徽章:: 1

4楼 [报告]

发表于 2015-07-29 18:31 |只看该作者

回复 3# phanx

经确认版本是完全一样的
# rpm -qf /bin/ls /bin/bash /bin/vi
coreutils-5.97-34.el5_8.1
bash-3.2-33.el5_11.4
vim-minimal-7.0.109-7.2.el5

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phanx

富足长乐

论坛徽章:: 12

5楼 [报告]

发表于 2015-07-29 18:39 |只看该作者

指定一个固定的仓库镜像试试呢。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

信天翁

丰衣足食

论坛徽章:: 1

6楼 [报告]

发表于 2015-07-29 18:45 |只看该作者

回复 5# phanx

用yum reinstall coreutils bash vim-minimal 就好了，但系统中很多命令文件都有这样的问题，但平时运行也没异常，真是搞不明白

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phanx

富足长乐

论坛徽章:: 12

7楼 [报告]

发表于 2015-07-29 18:49 |只看该作者

弄完以后最好用aide做一个记录，

yum -y install aide
vi /etc/aide.conf

根据你的需要改

aide --init
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

到时候aide检查一下就知道文件被改过没有。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

信天翁

丰衣足食

论坛徽章:: 1

8楼 [报告]

发表于 2015-07-31 15:49 |只看该作者

终于找到原因了，原来是/etc/cron.daily/prelink在作怪

为查找原因重装其中一台服务器的所有rpm包
yum clean all
rpm -qa|xarg yum -y reinstall
刚装完检查bin下的文件大小和md5是对的，但过了一夜后又变成了重装rpm包前的大小

于是下载了最新的centos 5.11 iso文件在vmware中安装，然后service network stop关闭网络，vmware开机一夜，但第二天神奇的事还是发生了。
怀疑是centos本身的原因，怀疑是周期性任务, 查看被修改文件的创建和修改时间 stat /bin/bash，并检查/var/log/cron日志，
发现和cron.daily启动结束时间相符，于是先yum -y reinstall bash 重装bash包，然后到/etc/cron.daily下逐一执行里面的脚本，
每执行一个就检查一次bash文件的大小，终于确定是/etc/cron.daily/prelink的原因。

man prelink
prelink ELF shared libraries and binaries to speed up startup time
又baidu了一下，原来prelink会修改二进制文件，以方便其快速启动。

因此，如果安装rpm后想通过md5sum的方法来校验二进制文件是否被改变的话，可能不靠谱，因为prelink会修改它。
或者你关闭掉 /etc/cron.daily,或者在程序里面自己做校验。

折腾了我两三天原来是虚惊一场。