serveurs:installation:rkhunter

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
serveurs:installation:rkhunter [2023/02/12 14:48] – [Envoi d'email] jpmilcentserveurs:installation:rkhunter [2024/06/19 12:36] (Version actuelle) – [Suite à mise à jour des paquets] jpmilcent
Ligne 8: Ligne 8:
  
 ===== Installation de RKHunter ===== ===== Installation de RKHunter =====
-  * Installer le paquet : '' aptitude install rkhunter ''+  * Installer le paquet : '' apt install rkhunter ''
   * Indiquer les options du Cron de Rkhunter, en éditant : ''vi /etc/default/rkhunter'' <code bash /etc/default/rkhunter>   * Indiquer les options du Cron de Rkhunter, en éditant : ''vi /etc/default/rkhunter'' <code bash /etc/default/rkhunter>
 CRON_DAILY_RUN="yes" CRON_DAILY_RUN="yes"
Ligne 14: Ligne 14:
 DB_UPDATE_EMAIL="yes" DB_UPDATE_EMAIL="yes"
 REPORT_EMAIL="adminsys@<domaine-sinp>" REPORT_EMAIL="adminsys@<domaine-sinp>"
 +REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
 +APT_AUTOGEN="yes"
 </code> </code>
   * Indiquer les faux positifs, en éditant le fichier de config : ''vi /etc/rkhunter.conf'' <code bash /etc/rkhunter.conf>   * Indiquer les faux positifs, en éditant le fichier de config : ''vi /etc/rkhunter.conf'' <code bash /etc/rkhunter.conf>
 +ALLOW_SSH_ROOT_USER=prohibit-password
 +
 # Config permettant la mise à jour pour éviter l'erreur : # Config permettant la mise à jour pour éviter l'erreur :
 # Invalid WEB_CMD configuration option: Relative pathname: "/bin/false" # Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
Ligne 30: Ligne 34:
 PKGMGR=DPKG PKGMGR=DPKG
  
-Corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :+Pour Debian 10 uniquement, corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :
 SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/egrep
 SCRIPTWHITELIST=/usr/bin/fgrep SCRIPTWHITELIST=/usr/bin/fgrep
Ligne 49: Ligne 53:
 Lors des tests, pour permettre l'envoie correcte d'email : Lors des tests, pour permettre l'envoie correcte d'email :
   * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@<domaine-sinp>"</code>   * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@<domaine-sinp>"</code>
-  * Ensuite éditer les script Rkhunter (voir ci-dessous)lancés par le Cron en ajoutant après chaque indication de ///usr/bin/sendmail// les options <code bash> -t -f $REPORT_EMAIL_FROM</code>.+  * Ensuite éditer les script Rkhunter lancés par le Cron (voir ci-dessous) en ajoutant après chaque indication de ///usr/bin/sendmail// les options <code bash> -t -f $REPORT_EMAIL_FROM</code>
     * "''-t''" : indique que Sendmail doit rechercher le destinataire dans les entêtes envoyés. Il faut donc que Sendmail reçoive ''"To: $REPORT_EMAIL"''.     * "''-t''" : indique que Sendmail doit rechercher le destinataire dans les entêtes envoyés. Il faut donc que Sendmail reçoive ''"To: $REPORT_EMAIL"''.
   * Les scripts à modifier :    * Les scripts à modifier : 
     * ''vi /etc/cron.daily/rkhunter''     * ''vi /etc/cron.daily/rkhunter''
     * ''vi /etc/cron.weekly/rkhunter''     * ''vi /etc/cron.weekly/rkhunter''
 +  * Si vraiment nécessaire, installer aussi le paquet "''mailutils''" avec : ''apt install mailutils''
 ===== Utilisation et commandes ===== ===== Utilisation et commandes =====
   * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''   * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''
Ligne 85: Ligne 89:
     * Lancer la commande de vérification (par acquis de conscience) : ''<nowiki> rkhunter --checkall </nowiki>''     * Lancer la commande de vérification (par acquis de conscience) : ''<nowiki> rkhunter --checkall </nowiki>''
     * Si tout semble conforme, indiquer à Rkhunter de considérer les changements comme normaux : ''<nowiki> rkhunter --propupd </nowiki>''     * Si tout semble conforme, indiquer à Rkhunter de considérer les changements comme normaux : ''<nowiki> rkhunter --propupd </nowiki>''
-  * **NOTE** : pour que Rhunter lancer automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''.+  * **NOTE** : pour que Rhunter lance automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''.
  
 ==== Avertissement "Spam tool component" ==== ==== Avertissement "Spam tool component" ====
   * Apparemment un faux positif lié aux services tournant dans des containers Docker : https://sourceforge.net/p/rkhunter/bugs/172/   * Apparemment un faux positif lié aux services tournant dans des containers Docker : https://sourceforge.net/p/rkhunter/bugs/172/
-  * Pas de solution pour l'instant pour le mettre dans une whitelist.+    * Le problème se pose avec Gunicorn et PhpFPM. 
 +  * Pas de solution pour l'instant pour le mettre dans une whitelist, il est seulement possible de désactiver les tests correspondant : 
 +    * Éditer le fichier de conf de Rkhunter : ''vi /etc/rkhunter.conf'' 
 +    * Ajouter ''running_procs'' à la fin de la liste du paramètre ''DISABLE_TESTS''.
   * Si le problème persiste, une alternative intéressante à RKhunter est [[https://cisofy.com/lynis/|Lynis]] (à tester).   * Si le problème persiste, une alternative intéressante à RKhunter est [[https://cisofy.com/lynis/|Lynis]] (à tester).
  • serveurs/installation/rkhunter.1676213316.txt.gz
  • Dernière modification : 2023/02/12 14:48
  • de jpmilcent