Rkhunter warnings help

Navegue suas respostas
2

Eu instalei o Ubuntu 14.04 há alguns dias. Fiz uma varredura com um RkHunter e recebi alguns avisos de que realmente não sei o que fazer. Eu li sobre falsos positivos um pouco, mas eu não encontrei a resposta para mim mesmo. Eu tenho esses erros: 

Checking /dev for suspicious file types         [ Warning ]
[19:44:16] Warning: Suspicious file types found in /dev:
[19:44:16]          /dev/.udev/rules.d/root.rules: ASCII text
[19:44:16]   Checking for hidden files and directories       [ Warning ]
[19:44:16] Warning: Hidden directory found: /etc/.java: directory
[19:44:16] Warning: Hidden directory found: /dev/.udev: directory
[19:44:16] Warning: Hidden file found: /dev/.initramfs: symbolic link to '/run/initramfs'
Checking for group file changes                 [ Warning ]
[19:44:16] Warning: Group 'winbindd_priv' has been added to the group file.

Eu deveria estar preocupado?

    
por darkbase 23.09.2016 / 20:15

2 respostas

2

Ok, vamos analisar isso:

  

[19:44:16] /dev/.udev/rules.d/root.rules: texto ASCII

  • um arquivo com texto ASCII é suspeito? Por quê?
  • houve um bug nele em 2010, então o arquivo parece normal para mim .
  • o google diz falso positivo .
  

[19:44:16] Atenção: Diretório oculto encontrado: /etc/.java: directory

     

[19:44:16] Atenção: Diretório oculto encontrado: /dev/.udev: directory

     

[19:44:16] Aviso: Arquivo oculto encontrado: /dev/.initramfs: link simbólico para '/ run / initramfs'

  • arquivos ocultos são um problema? Por quê? Arquivo oculto para mim parece uma característica do linux.
  • relatório de erros e corrigir .
  • A "correção" também mostra uma falha grave no rkhunter: colocar arquivos em um arquivo de configuração para que ele seja ignorado é simplesmente estúpido. É realmente. Pense sobre o que isso significa: por isso, se eu adicionar -all-files no meu disco para o arquivo de configuração para que ele os ignore, nunca consigo um rootkit? Não, na verdade, significa que um rootkit tem lugares extras para se esconder. Parece contraproducente para mim.
  

[19:44:16] Aviso: o grupo 'winbindd_priv' foi adicionado ao arquivo do grupo.

A propósito: você é o único que escolhe usar o rkunter, então você também precisará fazer essas pesquisas em qualquer aviso que receber.

Ou não use rkhunter ou instale um -segundo-separado (portanto, não Lynis , pois é um clone rkhunter) (< href="http://www.chkrootkit.org/"> chrootkit.org parece baixo; o software ainda está disponível nos repositórios). Execute ambos e descarte qualquer coisa, apenas 1 deles é um problema como um falso positivo. Informações sobre o pacote no debian for rkhunter também mencionam isso .

    
por Rinzwind 24.09.2016 / 07:52
0

Não, você não deve se preocupar com falsos positivos.

Como instalar, configurar e usar o RKhunter é explicado na página da comunidade RKhunter . Além disso, você pode encontrar explicações detalhadas sobre alguns resultados esperados, como o seu, e como colocá-los na lista de permissões corretamente.

    
por user589808 24.09.2016 / 07:16
Alterar update-java-alternatives prio Segurança da instalação do software a partir do código-fonte [fechado]