Table des matières

Installer et configurer Rootkit-Hunter

Installation de RKHunter

Envoi d'email

Pour recevoir les alertes de RKHunter sur la bonne adresse sans flood inutile :

    REPORT_EMAIL="adminsys@<domaine-sinp>"
    REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
 

Utilisation et commandes

Avertissements Rkhunter

Suite à mise à jour des paquets

Patch : Limiter les mails de RKHunter aux vraies alertes (rootkit ou fichier suspect)

Par défaut, RKHunter envoie un mail à chaque “Warning”, même mineur (ex : fichiers temporaires de byobu, dossiers cachés, etc.). Pour ne recevoir un mail que si un rootkit ou un fichier suspect est détecté, il faut patcher le script cron `/etc/cron.daily/rkhunter` (ou `/etc/cron.weekly/rkhunter`).

/etc/cron.daily/rkhunter
# Ancienne section à commenter :
# if [ -s "$OUTFILE" -a -n "$REPORT_EMAIL" ]; then
#   (
#     echo "Subject: [rkhunter] $(hostname) - Daily report"
#     echo "To: $REPORT_EMAIL"
#     echo ""
#     cat $OUTFILE
#   ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM
# fi
 
# Nouvelle section à ajouter :
if [ -s "$OUTFILE" ] && [ -n "$REPORT_EMAIL" ]; then
    if grep -q -E "Possible rootkits:[[:space:]]+[^0]" "$OUTFILE" || \
       grep -q -E "Suspect files:[[:space:]]+[^0]" "$OUTFILE"; then
        (
          echo "Subject: [rkhunter] ALERTE sur $(hostname)"
          echo "To: $REPORT_EMAIL"
          echo ""
          cat $OUTFILE
        ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM
    fi
fi

Cette modification permet de ne recevoir un mail qu’en cas d’incident réel (fichiers suspects ou rootkits détectés), et d’ignorer tous les faux positifs récurrents (warnings bénins).

Pensez à faire une sauvegarde du script avant modification :

cp /etc/cron.daily/rkhunter /etc/cron.daily/rkhunter.bak

Avertissement "Spam tool component"