Добавить файл / каталог для проверки rkhunter

Question

Добавить файл / каталог для проверки rkhunter

Мой вопрос очень прост, и я очень удивлен, увидев, что этот вопрос раньше не задавался.

Как добавить файл или каталог для проверки rkhunter? После этого я увидел, что мой каталог появился в команде 'rkhunter --propupd'. Я знаю, что могу изменить файл.dat, но если я это сделаю, я лучше сам сделаю скрипт, чтобы проверить наличие md5sum/sha1sum для моего конкретного каталога.

Надеюсь, что кто-то может мне помочь! Хорошего дня:)

1

rkhunter

Источник

KaAzZ 30 мар '17 в 08:12

1 ответ

Решение

Другие вопросы по тегам rkhunter

Lenniey 30 мар '17 в 08:28 2017-03-30 08:28 · Accepted Answer · 2017-03-30 08:28

РЕДАКТИРОВАТЬ: Может быть, я запутал вас (конечно, я написал, или вместо и...)

Вот шаг за шагом:

mkdir /var/local/test
touch /var/local/test/test.bla

добавить конфиг в rkhunter.conf:

USER_FILEPROP_FILES_DIRS="/var/local/test/test.bla"

бежать rkhunter --propupd

бежать rkhunter --check [--sk] (если хотите, не должны возвращать ошибок или предупреждений)

редактировать файл /var/local/test/test.bla

бежать rkhunter --check [--sk]

мой вывод:

/bin/dash                                                [ OK ]

/var/local/test/test.bla                                 [ Warning ]

Вы также можете использовать /var/local/test/* как подстановочный знак для всех файлов в этом каталоге.

Это аргумент командной строки для --propupd:

Со страницы руководства (выделено мое)

--propupd [{ имя файла | каталог | имя пакета},...] Одной из проверок, выполняемых rkhunter, является сравнение различных текущих свойств файла различных команд с теми, которые он ранее сохранял. Эта опция команды заставляет rkhunter обновить свой файл данных с сохраненными значениями текущими значениями. Если используется опция имени файла, то это должен быть либо полный путь, либо простое имя файла (например, "awk"). При использовании будет обновляться только запись в базе данных свойств файла для этого файла. Если используется параметр каталога, то будут обновляться только те файлы, которые перечислены в базе данных и находятся в данном каталоге. Аналогично, если используется опция имени пакета, то будут обновляться только те файлы в базе данных, которые являются частью указанного пакета. Имя пакета должно быть основной частью имени, номера версий не должны быть включены - например, 'coreutils'. Имена пакетов, конечно, будут храниться в базе данных свойств файлов только в том случае, если используется менеджер пакетов. Если имя пакета совпадает с именем файла - например, "файл" может относиться к команде "файл" или к пакету "файл" RPM (который содержит команду "файл") - будет использовано имя пакета, Если конкретная опция не указана, обновляется вся база данных.
ПРЕДУПРЕЖДЕНИЕ. Пользователи несут ответственность за обеспечение подлинности и надежности файлов в системе. rkhunter может сообщать только об изменении файла, но не о том, что вызвало изменение. Следовательно, если файл изменился и используется параметр команды --propupd, то rkhunter будет считать, что файл является подлинным.

~~Или~~ И, конечно же, изменить его в rkhunter.conf:

#
# This option is a space-separated list of commands, directories and file
# pathnames which will be included in the file properties checks.
# This option can be specified more than once.
#
# Whenever this option is changed, 'rkhunter --propupd' must be run.
#
# Simple command names - for example, 'top' - and directory names are
# added to the internal list of directories to be searched for each of
# the command names in the command list. Additionally, full pathnames
# to files, which need not be commands, may be given. Any files or
# directories which are already part of the internal lists will be
# silently ignored from the configuration.
#
# Normal globbing wildcards are allowed, except for simple command names.
# For example, 'top*' cannot be given, but '/usr/bin/top*' is allowed.
#
# Specific files may be excluded by preceding their name with an
# exclamation mark (!). For example, '!/opt/top'. By combining this
# with wildcarding, whole directories can be excluded. For example,
# '/etc/* /etc/*/* !/etc/rc?.d/*'. This will look for files in the first
# two directory levels of '/etc'. However, anything in '/etc/rc0.d',
# '/etc/rc1.d', '/etc/rc2.d' and so on, will be excluded.
#
# NOTE: Only files and directories which have been added by the user,
# and are not part of the internal lists, can be excluded. So, for
# example, it is not possible to exclude the 'ps' command by using
# '!/bin/ps'. These will be silently ignored from the configuration.
#
#USER_FILEPROP_FILES_DIRS="top /usr/local/sbin !/opt/ps*"
#USER_FILEPROP_FILES_DIRS="/etc/rkhunter.conf"
#USER_FILEPROP_FILES_DIRS="/etc/rkhunter.conf.local"
#USER_FILEPROP_FILES_DIRS="/var/lib/rkhunter/db/*"
#USER_FILEPROP_FILES_DIRS="!/var/lib/rkhunter/db/mirrors.dat"
#USER_FILEPROP_FILES_DIRS="!/var/lib/rkhunter/db/rkhunter*"
#USER_FILEPROP_FILES_DIRS="/var/lib/rkhunter/db/i18n/*"

Это должно добавить его в базу данных rkhunter.