プロが教えるわが家の防犯対策術!

質問タイトルのまんまですが、現在構築中の Linux サーバの時刻が勝手に変わってしまいます。

具体的には以下のような現象が起きています。
・前日の日付になる
・日付は同じだが、年が変わる(2000年とか)
・タイムゾーンが変わる(気がついたらCSTになってました)

環境は以下の通りです。

OS:Red Hat Enterprise Linux 5.3(2.6.18-128.el5)
ハード:DELL PowerEdge T100

当方で以下の確認をしました。

1.ntpd の動作確認
 service ntpd status
 で、ntpd が停止している事は確認しました。

2.ハードウェアクロック
 hwclock --show
 でハードウェアクロックの値は確認しました。
 時刻が勝手に変わるタイミングでハードウェアクロックも一緒に変わってしまっています。

3./var/log/ 以下のログ確認
 /var/log/message など、時刻が変わったタイミング前後のログも確認しましたが、特筆すべきログは出力されていませんでした。

4.システム時間の変更の監査
 http://kbase.redhat.com/faq/docs/DOC-18233/
 のページを参考に、
 # auditctl -a entry,always -S adjtimex -S settimeofday -k adjtime
 を実行し、システム時間変更の監査をしてみました。
 が、本現象発生後にログを確認してみましたが、時刻変更のログは出力されていませんでした。

サーバはずっと起動したままで再起動等も行っていません。
上記以外に何か確認すべき設定やログ等はありませんでしょうか?
長文になりましたが、アドバイスをお願いいたします。

A 回答 (4件)

思いつくところでは、


・タイムゾーンが変更されるなら /etc/localtime を監査する。
・psacctでコマンドの実行履歴から探してみる。
・時間が変更されるタイミングの関連性を調査する。

> 4.システム時間の変更の監査

ログが残らないとすると rootkit とかで見えないとか..
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

>・タイムゾーンが変更されるなら /etc/localtime を監査する。

お手数ですが、/etc/localtime の監査方法をご教授いただけないでしょうか?
これも auditctl を用いて監査するのでしょうか?

>・psacctでコマンドの実行履歴から探してみる。

psacct は早速導入してみます。

>・時間が変更されるタイミングの関連性を調査する。

時間の変更タイミングが正直把握できていません。
気がついたら変更されており、/var/log 以下のファイルで大体の時間を特定しているくらいです。

>ログが残らないとすると rootkit とかで見えないとか..

可能性は0ではないとは思いますが、ここ1,2週間前に導入したばかりのサーバでデータも何もほとんど入れていません。
インターネットにも公開されておらず、LAN 内だけで使用しているので可能性は限りなく低いと思います。

お礼日時:2009/11/20 13:16

監査するには、事前に準備したサムとチェックする必要がありますよ。



> md5sum /etc/localtime > localtime.sum

を実行した時点でサムファイルが新しくなるのでチェックしても、
エラーになることはないでしょう。

この回答への補足

結局、その後本現象は発生しなくなりました。
10日以上様子見したので本質問はクローズさせていただきます。

ご助言、大変にありがとうございました。

補足日時:2009/12/03 15:19
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

不勉強で申し訳ありません。
サムファイルの作成は初回のみでその後はチェックだけ行えばよいという事でしょうか。

#とりあえず、この週末も時刻が変わる現象は発生しませんでした。
#もうしばらく様子見をしてみます。

お礼日時:2009/11/24 11:43

> お手数ですが、/etc/localtime の監査方法をご教授いただけないでしょうか?



md5sumなどで定期的にチェックするだけで大丈夫ではないでしょうか。
具体的は、サムファイルを作成してチェックするコマンド実行する。

$ md5sum /etc/localtime > localtime.sum

$ md5sum -c localtime.sum もしくは、
$ md5sum -c localtime.sum > /dev/null
    • good
    • 1
この回答へのお礼

ご回答ありがとうございます。

md5sum /etc/localtime > localtime.sum
md5sum -c localtime.sum > /dev/null 2>> error.log

を1分間隔でまわすシェルを作って監査する事にしました。

#一昨日まで頻繁に発生していましたが、昨日からまったく発生しなくなってしまいました。
#とりあえず再現を待ってみようと思います。

お礼日時:2009/11/20 19:02

時刻を合わせたいのなら、ntpを起動しましょう。


ntpサーバは多数公開されていますし、設定も簡単なのでいいと思いますよ。

ネットワークにつなげていないとなると話は別ですが、

参考URL:http://www.turbolinux.co.jp/products/server/11s/ …
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。

数時間に数分程度の遅れならば ntp でよいのですが、
気がついたら年単位で時計が変わっているので、ntp では対応できそうないです。
まずは原因を特定したいと思います。

お礼日時:2009/11/20 12:51

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!