Différences

Ci-dessous, les différences entre deux révisions de la page.

--- rkhunter [2015/11/11 10:20] – [Mail envoyé] pascal
+++ rkhunter [2023/07/04 10:55] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 7: / Ligne 7: @@
 apt-get install rkhunter
 </code>
 ===== Utilisation =====
@@ Ligne 45: / Ligne 46: @@
 </file>
-===== Autres configurations =====
+===== Initialisation de la surveillance : /etc/rkhunter.conf =====
+Le premier contrôle via la commande **rkhunter --check** peut détecter des "faux positifs". Il s'agit de les faire disparaître puisque le serveur qui vient d'être installé n'a normalement pas de rootkit.
+==== Commandes ====
+=== Mise à jour de la base de contrôle ===
+<code>
+rkhunter --update
+[ Rootkit Hunter version 1.4.2 ]
-==== Cron ====
+Checking rkhunter data files...
+  Checking file mirrors.dat                                  [ No update ]
+  Checking file programs_bad.dat                             [ Updated ]
+  Checking file backdoorports.dat                            [ No update ]
+  Checking file suspscan.dat                                 [ No update ]
+  Checking file i18n/cn                                      [ No update ]
+  Checking file i18n/de                                      [ No update ]
+  Checking file i18n/en                                      [ No update ]
+  Checking file i18n/tr                                      [ No update ]
+  Checking file i18n/tr.utf8                                 [ No update ]
+  Checking file i18n/zh                                      [ No update ]
+  Checking file i18n/zh.utf8                                 [ No update ]
+</code>
+=== Mise à jour de la situation su système ===
+<code>
+rkhunter --propupdate
+[ Rootkit Hunter version 1.4.2 ]
+File updated: searched for 174 files, found 137
+</code>
+=== Recherche des problèmes ===
+<code>
+rkhunter --check
+[ Rootkit Hunter version 1.4.2 ]
-==== Autres logiciels ====
+Checking system commands...
-  * [[monit#etc_monit_confd_fail2banconf|Monit]] pour le monitoring de rkhunter
+  Performing 'strings' command checks
-===== Traitement des alertes =====
+    Checking 'strings' command                               [ OK ]
+  Performing 'shared libraries' checks
 ...
+The system checks took: 3 minutes and 45 seconds
+All results have been written to the log file: /var/log/rkhunter.log
+One or more warnings have been found while checking the system.
+Please check the log file (/var/log/rkhunter.log)
+</code>
+Les premières détections doivent être corrigées pour prendre en compte le système à l'origine. Les alertes sont dans le fichier /var/log/rkhunter.log.
+==== Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request ====
+Mettre la ligne en commentaire :
+<file>
+# SCRIPTWHITELIST=/usr/bin/lwp-request
+</file>
+==== Warning: The SSH and rkhunter configuration options should be the same ====
+Warning :
+<file>
+...
+[18:44:21]   Checking if SSH root access is allowed          [ Warning ]
+[18:44:22] Warning: The SSH and rkhunter configuration options should be the same:
+[18:44:22]          SSH configuration option 'PermitRootLogin': without-password
+[18:44:22]          Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
+...
+</file>
+Modifier le paramétrage pour qu'il soit identique à celui de /etc/ssh/sshd_config :
+<file>
+#
+# The following option is checked against the SSH configuration file
+# 'PermitRootLogin' option. A warning will be displayed if they do not match.
+# However, if a value has not been set in the SSH configuration file, then a
+# value here of 'unset' can be used to avoid warning messages.
+#
+# The default value is 'no'.
+#
+ALLOW_SSH_ROOT_USER=without-password
+</file>
 ===== Sources =====
   * http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html