rkhunter警告inode更改，但文件修改日期未更改

我有几个安装了rkhunter的运行Centos 6的系统。我每天都有运行rkhunter的cron，并通过电子邮件进行报告。

我经常收到如下报告：

---------------------- Start Rootkit Hunter Scan ----------------------
Warning: The file properties have changed:
        File: /sbin/fsck
        Current inode: 6029384    Stored inode: 6029326
Warning: The file properties have changed:
        File: /sbin/ip
        Current inode: 6029506    Stored inode: 6029343
Warning: The file properties have changed:
        File: /sbin/nologin
        Current inode: 6029443    Stored inode: 6029531
Warning: The file properties have changed:
        File: /bin/dmesg
        Current inode: 13369362    Stored inode: 13369366

据我了解，rkhunter通常会向扫描的文件报告更改的哈希和/或修改日期，因此这使我认为没有真正的更改。

我的问题是：计算机上是否还有其他活动可以进行inode更改（运行ext4），或者yum作为常规安全更新的一部分，这实际上是对这些文件进行定期更改（〜每周一次）吗？

通常，通过在同一目录中写入新文件，然后在旧文件上重命名文件来完成文件的更新。此方法通常适用于通过程序包管理器安装的所有程序，也适用于对可执行文件和库执行的任何更新，即使由于其他原因而进行了更新。

这种更新文件的方式可确保打开文件的任何进程都可以使用旧的文件，也可以使用新的文件，并且在打开的文件中看不到任何更改。这确实意味着每次更新时，实际上您都会有一个同名的新文件，因此索引节点号已更改。

我想这就是这些文件具有新的inode编号的原因。

安全更新可能是原因之一。但是还有另一种可能性，我首先在Fedora Core 1上观察到，很可能在某个时候将其纳入Centos。

可执行文件和库被预先链接在一起，以便它们可以更快地启动并使用更少的内存。在此过程中，将加载地址随机化，从而使利用安全漏洞更加困难。cron作业会使用新的随机地址定期重复该过程，从而导致所有预链接的可执行文件和库都得到更新。

我发现的另一个选项是完全禁用这些属性测试。如果您编辑/etc/rkhunter.conf并查找该DISABLE_TESTS行并将其更改为：

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps properties"

该properties测试是一个检查和对文件哈希返回误报。

更改的inode编号通常表示文件已被替换。正如您所说，可能是由于预期的更新。我将验证这些文件的md5sums与分布式版本的文件是否匹配。如果您有另一个可比较的系统，则可能最容易与此进行比较。

看看rkhunter报告文件属性更改的可接受答案，但是我看不到yum已更新它们以检查这些二进制文件来自哪个软件包。

如果这些二进制文件来自已发行的发行版（由于另一个二进制文件的问题已更改）而进行了更新，也就不足为奇了，但是您列出的二进制文件未更改地包含在新版本的软件包中。难道你的报告也显示出一些二进制其中内容被改变了？

我将驱动器克隆到更大的驱动器，并收到具有不同inode编号的文件的警告。我从系统中删除了rkhunter，然后重新安装并再次运行了scann，而没有有关索引节点号已更改的警告