On Fri, Apr 22, 2011 at 07:18:44PM +0200, Paride Desimone wrote: > > [15:55:58] /bin/ip [ Warning ] > [15:55:58] Warning: The file properties have changed: > [15:55:58] File: /bin/ip > [15:55:58] Current hash: fe1f1e5574d94b1eb5edac342bc9367aa50c3497 > [15:55:58] Stored hash : c912b6625da588be1c18632a3bc1a5aae8f4ebd4 > [15:55:58] Current inode: 8689 Stored inode: 8222 > [15:55:58] Current size: 225832 Stored size: 225148 > [15:55:58] Current file modification time: 1302176974 (07-apr-2011 13:49:34) > [15:55:58] Stored file modification time : 1297101611 (07-feb-2011 19:00:11) come vedi rkhunter memorizza dei dati riguardanti i file, ogni volta che aggiorni il sistema cambiano ovviamente le proprietà di questi file; nel successivo controllo ti avverte mostrandoti i due hash. ora sta a te accertarti che questi siano effettivamente stati cambiati da te con un upgrade o altro e per questo ti mostra le date. una volta che sei sicuro ti basta eseguire $ rkhunter --propupd per dirgli che è tutto ok. c'è la possibilità di inserire alcuni di questi in white/blacklist e altro ancora, il file /etc/rkhunter.conf è ben commentato. ciao p.s. naturalmente capitano anche i falsi positivi, ma piuttosto di rado.
Attachment:
signature.asc
Description: Digital signature