Re: rkhunter su sid...

[skizzhg <skizzhg@gmx.com>]

On Fri, Apr 22, 2011 at 07:18:44PM +0200, Paride Desimone wrote:
> 
> [15:55:58] /bin/ip                                           [ Warning ]
> [15:55:58] Warning: The file properties have changed:
> [15:55:58]          File: /bin/ip
> [15:55:58]          Current hash: fe1f1e5574d94b1eb5edac342bc9367aa50c3497
> [15:55:58]          Stored hash : c912b6625da588be1c18632a3bc1a5aae8f4ebd4
> [15:55:58]          Current inode: 8689    Stored inode: 8222
> [15:55:58]          Current size: 225832    Stored size: 225148
> [15:55:58]          Current file modification time: 1302176974 (07-apr-2011 13:49:34)
> [15:55:58]          Stored file modification time : 1297101611 (07-feb-2011 19:00:11)

come vedi rkhunter memorizza dei dati riguardanti i file, ogni volta che
aggiorni il sistema cambiano ovviamente le proprietà di questi file; nel
successivo controllo ti avverte mostrandoti i due hash.
ora sta a te accertarti che questi siano effettivamente stati cambiati da
te con un upgrade o altro e per questo ti mostra le date.
una volta che sei sicuro ti basta eseguire

$ rkhunter --propupd

per dirgli che è tutto ok.
c'è la possibilità di inserire alcuni di questi in white/blacklist e
altro ancora, il file /etc/rkhunter.conf è ben commentato.

ciao

p.s. naturalmente capitano anche i falsi positivi, ma piuttosto di rado.

Attachment: signature.asc
Description: Digital signature