跳转至

0075-SETroubleshoot-uninstalled-确保未安装SETroubleshoot


规则ID

  • 0075-SETroubleshoot-uninstalled

类别

  • system

级别

  • warn

兼容版本

  • Linux

说明

  • prelink是一个程序,它修改ELF共享库和ELF动态链接的二进制文件,使动态链接器在启动时执行重定位所需的时间大大减少。

扫描频率

  • 1 */5 * * *

理论基础

  • 预链接功能可能会干扰AIDE的操作,因为它会更改二进制文件。如果恶意用户能够破坏libc等公共库,预链接也会增加系统的漏洞。

风险项

  • 服务不可用

审计方法

  • 验证是否未安装预链接。运行以下命令:
 # rpm -q prelink
package prelink is not installed

补救

  • 运行以下命令将二进制文件恢复为正常:

# prelink -ua
验证是否未安装预链接。运行以下命令:
yum remove prelink

影响

默认值

参考文献

CIS 控制

  • Version 7

    14.9对敏感数据的访问或更改强制执行详细记录 强制执行详细的审核日志记录以访问敏感数据或更改敏感数据(使用文件完整性监视或安全信息和事件监视等工具)。

文档评价

文档内容是否对您有帮助? ×