Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveurs:installation:rkhunter [2022/12/17 09:13] – [Suite à mise à jour des paquets] jpmilcent
+++ serveurs:installation:rkhunter [2024/06/19 12:36] (Version actuelle) – [Suite à mise à jour des paquets] jpmilcent
@@ Ligne 8: / Ligne 8: @@
 ===== Installation de RKHunter =====
-  * Installer le paquet : '' aptitude install rkhunter ''
+  * Installer le paquet : '' apt install rkhunter ''
   * Indiquer les options du Cron de Rkhunter, en éditant : ''vi /etc/default/rkhunter'' <code bash /etc/default/rkhunter>
 CRON_DAILY_RUN="yes"
@@ Ligne 14: / Ligne 14: @@
 DB_UPDATE_EMAIL="yes"
 REPORT_EMAIL="adminsys@<domaine-sinp>"
+REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
+APT_AUTOGEN="yes"
 </code>
   * Indiquer les faux positifs, en éditant le fichier de config : ''vi /etc/rkhunter.conf'' <code bash /etc/rkhunter.conf>
+ALLOW_SSH_ROOT_USER=prohibit-password
 # Config permettant la mise à jour pour éviter l'erreur :
 # Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
@@ Ligne 30: / Ligne 34: @@
 PKGMGR=DPKG
-# Corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :
+# Pour Debian 10 uniquement, corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :
 SCRIPTWHITELIST=/usr/bin/egrep
 SCRIPTWHITELIST=/usr/bin/fgrep
@@ Ligne 46: / Ligne 50: @@
   * **ATTENTION** : suite à l'installation et configuration de Rkhunter, il est nécessaire de lancer la commande suivante (=> indique à Rkhunter que tout est OK) : ''<nowiki> rkhunter --propupd </nowiki>''
-==== Envoi d'email via relai SMTP Google ====
+==== Envoi d'email ====
-Lors des tests, pour permettre l'envoie correcte d'email depuis un relai SMTP Google :
+Lors des tests, pour permettre l'envoie correcte d'email :
-  * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@cbn-alpin.fr"</code>
+  * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@<domaine-sinp>"</code>
-  * Ensuite éditer le script Rkhunter qui vérifier la base de données et sa mise à jour : ''vi /etc/cron.weekly/rkhunter'' et ajouter après chaque indication de ///usr/bin/sendmail// : <code bash> -f $REPORT_EMAIL_FROM</code>
+  * Ensuite éditer les script Rkhunter lancés par le Cron (voir ci-dessous) en ajoutant après chaque indication de ///usr/bin/sendmail// les options : <code bash> -t -f $REPORT_EMAIL_FROM</code>
+    * "''-t''" : indique que Sendmail doit rechercher le destinataire dans les entêtes envoyés. Il faut donc que Sendmail reçoive ''"To: $REPORT_EMAIL"''.
-Pour la mise en prod, remplacer simplement l'email de la conf par : ''mailer@<domaine-sinp>''
+  * Les scripts à modifier :
+    * ''vi /etc/cron.daily/rkhunter''
+    * ''vi /etc/cron.weekly/rkhunter''
+  * Si vraiment nécessaire, installer aussi le paquet "''mailutils''" avec : ''apt install mailutils''
 ===== Utilisation et commandes =====
   * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''
@@ Ligne 82: / Ligne 89: @@
     * Lancer la commande de vérification (par acquis de conscience) : ''<nowiki> rkhunter --checkall </nowiki>''
     * Si tout semble conforme, indiquer à Rkhunter de considérer les changements comme normaux : ''<nowiki> rkhunter --propupd </nowiki>''
-  * **NOTE** : pour que Rhunter lancer automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''.
+  * **NOTE** : pour que Rhunter lance automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''.
 ==== Avertissement "Spam tool component" ====
   * Apparemment un faux positif lié aux services tournant dans des containers Docker : https://sourceforge.net/p/rkhunter/bugs/172/
-  * Pas de solution pour l'instant pour le mettre dans une whitelist.
+    * Le problème se pose avec Gunicorn et PhpFPM.
+  * Pas de solution pour l'instant pour le mettre dans une whitelist, il est seulement possible de désactiver les tests correspondant :
+    * Éditer le fichier de conf de Rkhunter : ''vi /etc/rkhunter.conf''
+    * Ajouter ''running_procs'' à la fin de la liste du paramètre ''DISABLE_TESTS''.
   * Si le problème persiste, une alternative intéressante à RKhunter est [[https://cisofy.com/lynis/|Lynis]] (à tester).