yum updateでパッケージの更新をした後、rkhunter --propupd しても、ハッシュが合わない事がある。
# rkhunter --propupd [ Rootkit Hunter version 1.4.0 ] File updated: searched for 167 files, found 140, missing hashes 6
これは、prelinkが原因。
prelinkとは、共有ライブラリとプログラムを事前にリンクしておくことで起動を早くするもの。
この処理は、/etc/cron.daily/prelink で定期的に実行される。
yum updateでライブラリが更新された場合、リンク済みのバイナリと新しいバイナリではハッシュ値が合わない。
rkhunter --propupd を実行する前に、prelinkを実行してリンクを行う。
# /etc/cron.daily/prelink
これでハッシュ値が更新される。
# rkhunter --propupd [ Rootkit Hunter version 1.4.0 ] File updated: searched for 167 files, found 140
さらに、これでも警告が消えない場合があり、/var/log/rkhunter.log を確認すると以下のようにある。
Warning: No hash value found for file '/bin/cp' Hash command output: /usr/sbin/prelink: /bin/cp: at least one of file's dependencies has changed since prelinking Try running the command 'prelink /bin/cp' to resolve dependency errors.
手動でprelinkを実行する必要があり、以下のようにする。
# /usr/sbin/prelink /bin/cp