Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 12/01/2014, à 12:35

gelinp

rkhunter : que faire des après les warnings ?

Bonjour,

Je découvre rkhunter et j'ai encore du mal à savoir comment réagir face à ces messages d'alerte. Par exemple ci-dessous je me demande si je dois directement supprimer les répertoires cachés sous /etc, ou encore supprimer le fichier unhide.rb qui semble poser problème ou encore aussi effacer le lien symbolique vers initramfs ?

J'ai aussi installé OSSEC et je reçois là encore des warnings. J'ai noté aussi l'apparition d'un utilisateur OSSEC sur mon écran de connexion ce qui n'est pas très cool. Je pense pouvoir le cacher simplement...

Je vous remercie pour vos conseils !

gelinp@gelinux:~$ sudo rkhunter --checkall --report-warnings-only
[sudo] password for gelinp: 
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'ossec' has been added to the passwd file.
Warning: User 'ossecm' has been added to the passwd file.
Warning: User 'ossecr' has been added to the passwd file.
Warning: Group 'ossec' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Ubuntu 13.04, KDE interface

Hors ligne

#2 Le 12/01/2014, à 13:19

bruno

Re : rkhunter : que faire des après les warnings ?

Je pense que 99% des utilisateurs ont ce type d’avertissements car il s'en servent sans discernement.
Pour utiliser rkhunter comme pour tout autre outil il faut un minimum comprendre ce qu'il fait et comment il fonctionne.
La lecture de la page de man est un bon début wink

D'abord il est bon de lancer une mise à jour des bases de données de rkhunter :

sudo rkhunter --update

Ensuite, si l'on est sûr que le système n'est pas compromis, il faut utiliser l'option --propupd pour que rkhunter mette à jour ses données sur les propriétés des fichiers du système :

sudo rkhunter --propupd

À lancer après une mise à jour du système, ou la modification/ajout de groupes ou d'utilisateurs, par exemple.

Extrait de la page de man :

--propupd [{filename | directory | package name},...]
One of the checks rkhunter performs is to compare various current file properties of various commands, against those it has previously stored. This command option causes rkhunter to update its data file of stored values with the current values.

Enfin, comme toute application il faut la configurer un minimum. Par exemple pour éliminer les faux positifs (les avertissements inutiles) . Il faut pour cela modifier le fichier /etc/rkhunter.conf :

Dé-commenter ou ajouter les lignes :

SCRIPTWHITELIST=/usr/bin/unhide.rb

ALLOWHIDDENDIR="/etc/.java"

ALLOWHIDDENDIR="/etc/.udev"

ALLOWHIDDENFILE="/dev/.initramfs"

ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"

Dernière modification par bruno (Le 12/01/2014, à 13:26)

Hors ligne

Haut de page ↑