Debian6 - rkhunter Fehlalarm bei Software Raid & hdparm

#1
Wer ein Debian6 System mit Software Raid & hdparm für Festplattenchecks betreibt bekommt bei einem rkhunter check unnötige Fehlermeldungen. Diese können durch das anpassen der /etc/rkhunter.conf ignoriert werden:

Fehlermeldungen wie:

Code:
Warning: Checking for possible rootkit strings    [ Warning ]
        Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit
        Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
 
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.mdadm
Warning: Hidden directory found: /dev/.initramfs
Dazu öffnet man die /etc/rkhunter.conf und fügt nach INSTALLDIR="/usr" die folgenden Zeilen am Ende ein:

Code:
# SOF
RTKT_FILE_WHITELIST="/etc/init.d/hdparm /etc/init.d/bootlogd /etc/init.d/checkroot.sh /etc/init.d/.depend.boot"

USER_FILEPROP_FILES_DIRS="/etc/init.d/hdparm /etc/init.d/bootlogd /etc/init.d/checkroot.sh /etc/init.d/.depend.boot"

SCRIPTWHITELIST="/etc/init.d/hdparm"
SCRIPTWHITELIST="/etc/init.d/bootlogd"
SCRIPTWHITELIST="/etc/init.d/checkroot.sh"

ALLOWHIDDENDIR=/dev/.initramfs
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.mdadm
 
# EOF
__________________
Debian6 Mini-HowTos
 
Zuletzt bearbeitet:

Werbung

Top