0074-prelink-disable-预链接被安装¶

规则ID¶

• 0074-prelink-disable

类别¶

• system

级别¶

• warn

兼容版本¶

• Linux

说明¶

• prelink是一个程序，它修改ELF共享库和ELF动态链接的二进制文件，使动态链接器在启动时执行重定位所需的时间大大减少。

扫描频率¶

• 1 */5 * * *

理论基础¶

• 预链接功能可能会干扰AIDE的操作，因为它会更改二进制文件。如果恶意用户能够破坏libc等公共库，预链接也会增加系统的漏洞。

风险项¶

• 服务不可用

审计方法¶

• 验证是否未安装预链接。运行以下命令：

 # rpm -q prelink
package prelink is not installed

补救¶

• 运行以下命令将二进制文件恢复为正常：

# prelink -ua

yum remove prelink

影响¶

• 无

默认值¶

• 无

参考文献¶

• 无

CIS 控制¶

• Version 7

  14.9对敏感数据的访问或更改强制执行详细记录 强制执行详细的审核日志记录以访问敏感数据或更改敏感数据（使用文件完整性监视或安全信息和事件监视等工具）。