Usar debsums
é uma ideia muito inteligente com uma grande falha: se algo substituísse um arquivo de propriedade da raiz, como /bin/which
, poderia também reescrever /var/lib/dpkg/info/*.md5sums
com uma atualização checksum. Não há cadeia de custódia de volta para uma assinatura Debian / Ubuntu, tanto quanto eu posso ver. O que é uma pena, porque seria uma maneira muito simples, muito rápida de verificar a autenticidade de um arquivo ao vivo.
Em vez de verificar verdadeiramente um arquivo, você precisa fazer o download de uma nova cópia desse deb, extrair o control.tar.gz
interno e depois examinar seu arquivo md5sums para comparar com um% realmd5sum /bin/which
. É um processo doloroso.
O que mais provavelmente aconteceu aqui é que você teve algumas atualizações do sistema (até mesmo uma atualização de distribuição) e não solicitou ao rkhunter que atualizasse seus perfis. O rkhunter precisa saber quais arquivos devem ser usados para que as atualizações do sistema o incomodem.
Quando souber que algo é seguro, você poderá executar sudo rkhunter --propupd /bin/which
para atualizar sua referência do arquivo.
Este é um dos problemas do rkhunter. Ele precisa de integração profunda no processo de deb, para que quando pacotes assinados e confiáveis sejam instalados, o rkhunter atualize suas referências aos arquivos.
E não, eu não colocaria na lista de permissões coisas assim, porque isso é exatamente o tipo de coisa que um rootkit poderia seguir.