さくらVPSの1Gプラン登場を機会にCentOS5→6にアップグレードしました。困ったことが一つありました。改ざん検知にはAIDEを使っているのですが、アップグレード後に検知が多発してしまいました。
スポンサーリンク
原因は「prelink」
dailyのcronで「prelink」が再作成されていたのが原因でした。prelinkするときにバイナリを改変するためハッシュ値が変わって検知されてしまうようです。
prelinkの詳細についてはこちら。
検知されないようにするには
prelink機能を切ることで対応します。
/etc/sysconfig/prelink を編集する。
vim /etc/sysconfig/prelink
[PRELINKING]を yes から no に設定変更する。
# Set this to no to disable prelinking altogether # (if you change this from yes to no prelink -ua # will be run next night to undo prelinking) #PRELINKING=yes PRELINKING=no
とりあえず、これで毎日飛んでくる改ざん検知のメールに怯えなくてすむようになりました。