¿Cómo puedo verificar si la hora de modificación del archivo se ha falsificado en ext4?

Navega tus respuestas
1

En el sistema basado en Debian (servidor Ubuntu 14.04.3 específicamente), utilizando el sistema de archivos ext4.

¿Cómo descubriría si los archivos se han cambiado, pero los tiempos modificados se han hecho para que parezcan que los archivos no se han manipulado?

Lo que más me interesa es una forma de comprobar si esto ya ha sucedido, en lugar de utilizar una herramienta que verifique si sucede a partir de ahora.

    
pregunta Arronical 09.12.2015 - 16:03
fuente

1 respuesta

2

Los sistemas de detección de intrusos en el host (HIDS) pueden ofrecer esta función: verificación de la integridad del archivo.

No lo intento personalmente, pero de acuerdo con la documentación, AIDE puede hacer esto.

La idea es crear valores hash de los archivos que desea verificar que no cambian y luego compararlos regularmente con los nuevos valores calculados.

    
respondido por el Romain Clair 09.12.2015 - 16:11
fuente

Lea otras preguntas en las etiquetas

¿Se verifican los campos de un certificado de CA raíz? ¿Cómo pido a nmap que pruebe el tipo de servicio designado y no ejecute scripts?