<div dir="ltr"><div style="font-size:12.8px">Hi,</div><div style="font-size:12.8px">We are presently using Aide for our Linux based Devices. As part of the Aide alerts I observe that the checksum of certain files in /usr/lib, /usr/bin and /lib show a Checksum alert as follows</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><p class="MsoNormal"><u><span style="font-family:"courier new"">Changed files:</span></u></p><p class="MsoNormal"><span style="font-family:"courier new"">f =...    ..C: /usr/bin/myapp</span><br></p><p class="MsoNormal"><span style="font-family:"courier new"">f =...    ..C: /usr/lib/libssl.so</span></p></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">However after in later aide reports (a week later or so) some of the above alerts do not show up and the later aide reports show only</div><div style="font-size:12.8px"><p class="MsoNormal"><span style="font-family:"courier new""><br></span></p><p class="MsoNormal"><span style="font-family:"courier new"">f =...    ..C: /usr/bin/myapp</span><br></p></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">There are many instances of Checksum alerts (sha1) for various other devices for different libraries and executables.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">The root file system of the device cannot be accessed using login/remote shell and hence I have come to conclude that this alert like a few other ones shown for other devices are false positives. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">We are using an ARM platform and a JFFS2 file system.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">We have pre linking disabled and as I have read from many posts that pre linking tends to result in false positives.  Aide flags are set for   p+i+s+n+b+u+sha1</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">aide -v</div><div style="font-size:12.8px"><div>Aide 0.15.1</div><div><br></div><div>Compiled with the following options:</div><div><br></div><div>WITH_MMAP</div><div>WITH_LSTAT64</div><div>WITH_READDIR64</div><div>WITH_ZLIB</div><div>WITH_GCRYPT</div><div>CONFIG_FILE = "/etc/aide.conf"</div><div><br></div><div><br></div><div>Could this be a problem in the GCRYPT library?</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Could someone guide me as to how I can investigate the root cause of this issue (what things can I try) and know for certain if this was indeed a false positive?</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Regards,</div><div style="font-size:12.8px">Max</div></div>