Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

rkhunter : que faire des après les warnings ?

gelinp

Bonjour,

Je découvre rkhunter et j'ai encore du mal à savoir comment réagir face à ces messages d'alerte. Par exemple ci-dessous je me demande si je dois directement supprimer les répertoires cachés sous /etc, ou encore supprimer le fichier unhide.rb qui semble poser problème ou encore aussi effacer le lien symbolique vers initramfs ?

J'ai aussi installé OSSEC et je reçois là encore des warnings. J'ai noté aussi l'apparition d'un utilisateur OSSEC sur mon écran de connexion ce qui n'est pas très cool. Je pense pouvoir le cacher simplement...

Je vous remercie pour vos conseils !

gelinp@gelinux:~$ sudo rkhunter --checkall --report-warnings-only
[sudo] password for gelinp: 
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'ossec' has been added to the passwd file.
Warning: User 'ossecm' has been added to the passwd file.
Warning: User 'ossecr' has been added to the passwd file.
Warning: Group 'ossec' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

bruno

Je pense que 99% des utilisateurs ont ce type d’avertissements car il s'en servent sans discernement.
Pour utiliser rkhunter comme pour tout autre outil il faut un minimum comprendre ce qu'il fait et comment il fonctionne.
La lecture de la page de man est un bon début 😉

D'abord il est bon de lancer une mise à jour des bases de données de rkhunter :

sudo rkhunter --update

Ensuite, si l'on est sûr que le système n'est pas compromis, il faut utiliser l'option --propupd pour que rkhunter mette à jour ses données sur les propriétés des fichiers du système :

sudo rkhunter --propupd

À lancer après une mise à jour du système, ou la modification/ajout de groupes ou d'utilisateurs, par exemple.

Extrait de la page de man :

--propupd [{filename | directory | package name},...]
One of the checks rkhunter performs is to compare various current file properties of various commands, against those it has previously stored. This command option causes rkhunter to update its data file of stored values with the current values.

Enfin, comme toute application il faut la configurer un minimum. Par exemple pour éliminer les faux positifs (les avertissements inutiles) . Il faut pour cela modifier le fichier /etc/rkhunter.conf :

Dé-commenter ou ajouter les lignes :

SCRIPTWHITELIST=/usr/bin/unhide.rb

ALLOWHIDDENDIR="/etc/.java"

ALLOWHIDDENDIR="/etc/.udev"

ALLOWHIDDENFILE="/dev/.initramfs"

ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"