Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveurs:installation:rkhunter [2025/07/10 15:47] – aungaro
+++ serveurs:installation:rkhunter [2025/11/27 10:54] (Version actuelle) – [Utilisation et commandes] jpmilcent
@@ Ligne 26: / Ligne 26: @@
 WEB_CMD=""
-# Gestion des emails
+# (Ne pas renseigner MAIL-ON-WARNING ni MAIL_CMD ici pour éviter le flood d'emails sur chaque warning.
-MAIL-ON-WARNING=adminsys@<domaine-sinp>
+# L'envoi d'alerte mail est géré uniquement par le script cron patché.)
-MAIL_CMD=mail -s "[rkhunter] Avertissements sur ${HOST_NAME}" -r mailer@<domaine-sinp>
 # Option évitant les faux positifs en se basant sur Dpkg
-# ATTENTION : lancer ''rkhunter --propupd'' après avoir modifier cet option !
+# ATTENTION : lancer ''rkhunter --propupd'' après avoir modifié cette option !
 PKGMGR=DPKG
-# Pour Debian 10 uniquement, corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :
+# Pour Debian 10 uniquement, corriger l'emplacement des scripts suivants (/usr/bin/ au lieu de /bin) :
 SCRIPTWHITELIST=/usr/bin/egrep
 SCRIPTWHITELIST=/usr/bin/fgrep
@@ Ligne 51: / Ligne 50: @@
 ALLOWDEVFILE="/dev/shm/byobu-*/*"
 ALLOWDEVFILE="/dev/shm/byobu-*/*/*"
+ALLOWHIDDENDIR="/dev/shm/byobu-*/.last.tmux"
+ALLOWDEVFILE="/dev/shm/byobu-*/.last.tmux/*"
 </code>
   * **ATTENTION** : suite à l'installation et configuration de Rkhunter, il est nécessaire de lancer la commande suivante (=> indique à Rkhunter que tout est OK) : ''<nowiki> rkhunter --propupd </nowiki>''
 ==== Envoi d'email ====
-Lors des tests, pour permettre l'envoie correcte d'email :
+Pour recevoir les alertes de RKHunter sur la bonne adresse sans flood inutile :
-  * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@<domaine-sinp>"</code>
+  * Définir l’adresse de réception dans /etc/default/rkhunter :
-  * Ensuite éditer les script Rkhunter lancés par le Cron (voir ci-dessous) en ajoutant après chaque indication de ///usr/bin/sendmail// les options : <code bash> -t -f $REPORT_EMAIL_FROM</code>
+    <code bash>
-    * "''-t''" : indique que Sendmail doit rechercher le destinataire dans les entêtes envoyés. Il faut donc que Sendmail reçoive ''"To: $REPORT_EMAIL"''.
+    REPORT_EMAIL="adminsys@<domaine-sinp>"
-  * Les scripts à modifier :
+    REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
-    * ''vi /etc/cron.daily/rkhunter''
+    </code>
-    * ''vi /etc/cron.weekly/rkhunter''
+  * **Ne pas renseigner** (ou commenter) les options MAIL-ON-WARNING et MAIL_CMD dans /etc/rkhunter.conf.
-  * Si vraiment nécessaire, installer aussi le paquet "''mailutils''" avec : ''apt install mailutils''
+  * Vérifier que le script cron (/etc/cron.daily/rkhunter) est patché selon la section ci-dessous (voir Patch).
 ===== Utilisation et commandes =====
-  * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''
+  * Vérifier dernière version : <code bash> rkhunter --versioncheck </code>
-  * Mettre à jour le programme : ''<nowiki> rkhunter --update </nowiki>''
+  * Mettre à jour le programme : <code bash> rkhunter --update </code>
-  * Lister les différents tests effectués : ''<nowiki> rkhunter --list </nowiki>''
+  * Lister les différents tests effectués : <code bash> rkhunter --list </code>
-  * **ATTENTION** : suite à l'installation et configuration de Rkhunter, il est nécessaire de lancer la commande suivante (=> indique à Rkhunter que tout est OK) : ''<nowiki> rkhunter --propupd </nowiki>''
+  * **ATTENTION** : suite à l'installation et configuration de Rkhunter, il est nécessaire de lancer la commande suivante (=> indique à Rkhunter que tout est OK) : <code bash> rkhunter --propupd </code>
-  * Effectuer une vérification : ''<nowiki> rkhunter --checkall </nowiki>''
+  * Effectuer une vérification : <code bash> rkhunter --checkall </code>
-  * Vérification avec juste les alertes importantes : ''<nowiki> rkhunter -c --rwo </nowiki>''
+  * Vérification avec juste les alertes importantes : <code bash> rkhunter -c --rwo </code>
-  * Tester uniquement les //malwares// : ''<nowiki> rkhunter -c -sk --enable malware </nowiki>''
+  * Tester uniquement les //malwares// : <code bash> rkhunter -c -sk --enable malware </code>
-  * Accéder aux logs de RkHunter : ''vi /var/log/rkhunter.log''
+  * Tester uniquement les //fichiers systèmes// cachés (''/dev/...'') : <code bash>rkhunter -c -sk --enable filesystem</code>
+  * Accéder aux logs de RkHunter : <code bash>vi /var/log/rkhunter.log</code>
 ===== Avertissements Rkhunter =====
@@ Ligne 84: / Ligne 87: @@
 </code>
   * Dans ce cas là, relever la date de la nouvelle version du binaire et se rendre sur le site suivant : https://www.debian.org/distrib/packages
-    * Chercher le paquet Debian correspondant et vérifié la date de la dernière version publiée du paquet en question
+    * Chercher le paquet Debian correspondant et vérifier la date de la dernière version publiée du paquet en question
       * Utiliser le moteur de recherche situé en bas de page permettant de rechercher un nom de fichier présent dans un paquet.
     * Sur la page du paquet :
       * sélectionner votre version de Debian.
-      * Pour vérifier la date, cliquer dans le menu de droite sur le lien "**Journal des modifications Debian**". Le changelog du paquet s'affiche est contient la date de la dernière modification.
+      * Pour vérifier la date, cliquer dans le menu de droite sur le lien "**Journal des modifications Debian**". Le changelog du paquet s'affiche et contient la date de la dernière modification.
   * Si les 2 dates correspondent, le message d'avertissement de Rkhunter est à ignorer.
   * Il faut tout de même :