rkhunter предупреждений - белый список

Question

rkhunter предупреждений - белый список

Через rkhunter я получаю набор предупреждений, которые я не могу подавить с помощью ALLOWDEVFILE. Вот часть того, что помечается:

Checking /dev for suspicious file types         [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty7: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty6: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty5: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty4: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty3: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty2: ASCII text

Я попробовал все следующие методы (с кавычками и без):

ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8"

ALLOWDEVFILE = "/dev/.udev/db/\\x2fdevices\\x2fvirtual\\x2ftty\\x2ftty8"

Подстановочные знаки тоже не работают:

ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\*"

Кажется, есть некоторая проблема с обратной косой чертой в именах файлов, так как даже обычное табулирование автозаполнения имен файлов не будет работать из командной строки. Любые идеи о том, как заставить rkhunter перестать выдавать предупреждения и постоянно присылать мне по электронной почте этот набор файлов?

2

rkhunter

Источник

AvatarKava 20 май '14 в 18:08

5 ответов

Другие вопросы по тегам rkhunter

phoops 20 май '14 в 18:27 2014-05-20 18:27 · Answer 1 · 2014-05-20 18:27

Угробить цитаты:

ALLOWDEVFILE = /dev/.udev/db/*

2

Источник

phoops 20 май '14 в 18:27

TBI Infotech 25 июн '14 в 13:19 2014-06-25 13:19 · Answer 2 · 2014-06-25 13:19

Чтобы подавить предупреждение rkhunter, вы можете добавить правило белого списка в /etc/rkhunter.conf.local:

ALLOWDEVFILE = / DEV /.udev/rules.d/root.rules

1

Источник

TBI Infotech 25 июн '14 в 13:19

Silky Sandpaper 16 ноя '23 в 06:52 2023-11-16 06:52 · Answer 3 · 2023-11-16 06:52

      ALLOWDEVFILE=/dev/shm/zm.mmap*

/etc/rkhunter.conf не любит пробелы, однако подстановочные знаки работают.

0

Источник

Silky Sandpaper 16 ноя '23 в 06:52

29 окт '20 в 13:49 2020-10-29 13:49 · Answer 4 · 2020-10-29 13:49

Rkhunter все еще существует, но белый список работает не так, как ожидалось.
В версии 1.4.6 мне нужно было явно указать, чтобы каждое устройство игнорировалось, подстановочные знаки не работают.
В /etc/rkhunter.conf есть пример:
#ALLOWDEVFILE=/dev/shm/pulse-shm-*
но это не работает.

Мне пришлось использовать такую команду:

 grep '^\[..:..:..\][[:blank:]]\{6\}.*/dev/shm/.*:' /var/log/rkhunter.log |\
      awk '{print "ALLOWDEVFILE="$2}' | sed -e "s/:$//g | tee tmp-whitelist"

чтобы получить чистый вывод для каждого существующего файла, например:
ALLOWDEVFILE=/dev/shm/qb-15527-19288-18-fDXy5h/qb-event-pve2-data
Затем скопируйте каждую строку в /etc/rkhunter.conf.

Это выполнимо, когда используется только один сервер, и неприятно, когда серверов много.

jmcollantes 01 мар '22 в 17:31 2022-03-01 17:31 · Answer 5 · 2022-03-01 17:31

Протестировано на Rootkit Hunter 1.4.6 в Ubuntu 18.04.6 LTS.

ALLOWDEVFILE с подстановочными знаками работает так, как указано в справке.

В моем случае настройка:

      ALLOWDEVFILE=/dev/shm/sem.netdata*
ALLOWDEVFILE=/dev/shm/netdata_shm*

в /etc/rkhunter.log эффективно вносит файлы в белый список, как показывает сгенерированный журнал:

      [17:21:25] Info: SCAN_MODE_DEV set to 'THOROUGH'

[17:21:25] Info: Found file '/dev/shm/sem.netdata_sem_cgroup_ebpf': it is whitelisted.

[17:21:25] Info: Found file '/dev/shm/netdata_shm_cgroup_ebpf': it is whitelisted.