Re: rapport rkhunter

To: debian-user-french@lists.debian.org
Subject: Re: rapport rkhunter
From: Julien Valroff <julien@debian.org>
Date: Mon, 3 Jan 2011 20:04:57 +0100
Message-id: <[🔎] 20110103190454.GB25919@kirya.net>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 4D21AEA9.8040705@googlemail.com>
References: <[🔎] 201101031059.15064.a.le-bigot@orange.fr> <[🔎] 4D21AEA9.8040705@googlemail.com>

Salut,

Le lundi 03 janv. 2011 à 12:10:33 (+0100), tv.debian@googlemail.com a écrit :
> Le 03/01/2011 10:59, a.lb a écrit :
> > Bonjour,
> > Le rapport de rkhunter me dit ceci:
> > Warning: Checking for possible rootkit strings    [ Warning ]
> >          Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible 
> > rootkit: Xzibit Rootkit
> >          Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: 
> > Xzibit Rootkit

Voir ci-dessous

> > Warning: Hidden directory found: /dev/.udev
> > Warning: Hidden directory found: /dev/.initramfs

C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des
répertoires cachés à un endroit peu commun.
Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés.
Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à
rkhunter d'ignorer ces répertoires.

> c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il
> soit toujours présent dans Debian ?

Ce "bogue" est toujours présent dans la dernière version amont (1.3.8 dans
experimental).

Voir :
http://sourceforge.net/tracker/?func=detail&aid=2951178&group_id=155034&atid=794187

Il est très difficile de résoudre proprement le problème. Dans le rapport
original, il est proposé de pouvoir spécifier le nombre d'occurences de la
chaine autorisées dans chaque fichier. La solution n'est pas encore
implémentée et est de toute façon un simple contournement. 

La solution pour contourner les avertissements, tout en garantissant la
meilleure détection possible est :
  1. Exclure la détection de la chaîne "hdparm" du script d'initialisation
  2. Ajouter le script au test d'intégrité
  3. Dans le cas de ce problème, il faut également autoriser
    /etc/init.d/hdparm à être un script

Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local):
RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm"
USER_FILEPROP_FILES_DIRS="/etc/init.d/.depend.boot /etc/init.d/hdparm"
SCRIPTWHITELIST="/etc/init.d/hdparm"

@+
Julien

-- 
  ,''`.  Julien Valroff ~ <julien@kirya.net> ~ <julien@debian.org>
 : :' :  Debian Developer & Free software contributor
 `. `'   http://www.kirya.net/
   `-    4096R/ E1D8 5796 8214 4687 E416  948C 859F EF67 258E 26B1

Reply to:

References:
- rapport rkhunter
  - From: "a.lb" <a.le-bigot@orange.fr>
- Re: rapport rkhunter
  - From: "tv.debian@googlemail.com" <tv.debian@googlemail.com>

Prev by Date: Re: lister les noms des fichiers contenus dans plusieurs répertoires
Next by Date: Re: transfert de mail entre serveur (imap bincap à imap dovecot)
Previous by thread: Re: rapport rkhunter
Next by thread: rapport rkhunter
Index(es):
- Date
- Thread