/etc/rkhunter.conf
et /etc/default/rkhunter
/var/log/rkhunter.log
apt install rkhunter
vi /etc/default/rkhunter
CRON_DAILY_RUN="yes" CRON_DB_UPDATE="yes" DB_UPDATE_EMAIL="yes" REPORT_EMAIL="adminsys@<domaine-sinp>" REPORT_EMAIL_FROM="mailer@<domaine-sinp>" APT_AUTOGEN="yes"
vi /etc/rkhunter.conf
ALLOW_SSH_ROOT_USER=prohibit-password # Config permettant la mise à jour pour éviter l'erreur : # Invalid WEB_CMD configuration option: Relative pathname: "/bin/false" UPDATE_MIRRORS=1 MIRRORS_MODE=0 WEB_CMD="" # (Ne pas renseigner MAIL-ON-WARNING ni MAIL_CMD ici pour éviter le flood d'emails sur chaque warning. # L'envoi d'alerte mail est géré uniquement par le script cron patché.) # Option évitant les faux positifs en se basant sur Dpkg # ATTENTION : lancer ''rkhunter --propupd'' après avoir modifié cette option ! PKGMGR=DPKG # Pour Debian 10 uniquement, corriger l'emplacement des scripts suivants (/usr/bin/ au lieu de /bin) : SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/fgrep SCRIPTWHITELIST=/usr/bin/which # Désactiver les faux positifs sur db-srv ALLOWDEVFILE="/dev/shm/PostgreSQL.*" # Exemples de faux positifs à désactiver : ALLOWHIDDENDIR="/dev/.udev" ALLOWHIDDENDIR="/dev/.static" ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" # Désactiver les faux positifs liés à Byobu : ALLOWDEVFILE="/dev/shm/byobu-*" ALLOWDEVFILE="/dev/shm/byobu-*/*" ALLOWDEVFILE="/dev/shm/byobu-*/*/*"
rkhunter --propupd
Pour recevoir les alertes de RKHunter sur la bonne adresse sans flood inutile :
REPORT_EMAIL="adminsys@<domaine-sinp>" REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
rkhunter --versioncheck
rkhunter --update
rkhunter --list
rkhunter --propupd
rkhunter --checkall
rkhunter -c --rwo
rkhunter -c -sk --enable malware
vi /var/log/rkhunter.log
Warning: The file properties have changed: File: /usr/bin/curl Current inode: 14563 Stored inode: 8252 Current file modification time: 1582383706 (22-févr.-2020 16:01:46) Stored file modification time : 1560536612 (14-juin-2019 20:23:32)
rkhunter --checkall
rkhunter --propupd
rkhunter --propupd
après une mise à jour des paquets, mettre APT_AUTOGEN="yes"
dans le fichier /etc/default/rkhunter
.Par défaut, RKHunter envoie un mail à chaque “Warning”, même mineur (ex : fichiers temporaires de byobu, dossiers cachés, etc.). Pour ne recevoir un mail que si un rootkit ou un fichier suspect est détecté, il faut patcher le script cron `/etc/cron.daily/rkhunter` (ou `/etc/cron.weekly/rkhunter`).
# Ancienne section à commenter : # if [ -s "$OUTFILE" -a -n "$REPORT_EMAIL" ]; then # ( # echo "Subject: [rkhunter] $(hostname) - Daily report" # echo "To: $REPORT_EMAIL" # echo "" # cat $OUTFILE # ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM # fi # Nouvelle section à ajouter : if [ -s "$OUTFILE" ] && [ -n "$REPORT_EMAIL" ]; then if grep -q -E "Possible rootkits:[[:space:]]+[^0]" "$OUTFILE" || \ grep -q -E "Suspect files:[[:space:]]+[^0]" "$OUTFILE"; then ( echo "Subject: [rkhunter] ALERTE sur $(hostname)" echo "To: $REPORT_EMAIL" echo "" cat $OUTFILE ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM fi fi
Cette modification permet de ne recevoir un mail qu’en cas d’incident réel (fichiers suspects ou rootkits détectés), et d’ignorer tous les faux positifs récurrents (warnings bénins).
Pensez à faire une sauvegarde du script avant modification :
cp /etc/cron.daily/rkhunter /etc/cron.daily/rkhunter.bak
vi /etc/rkhunter.conf
running_procs
à la fin de la liste du paramètre DISABLE_TESTS
.