Debian6 - rkhunter Fehlalarm bei Software Raid & hdparm

Dieses Thema im Forum "Tipps - Tricks - Mods" wurde erstellt von Brainfood, 27. März 2013.

  1. Brainfood

    Brainfood Member

    Wer ein Debian6 System mit Software Raid & hdparm für Festplattenchecks betreibt bekommt bei einem rkhunter check unnötige Fehlermeldungen. Diese können durch das anpassen der /etc/rkhunter.conf ignoriert werden:

    Fehlermeldungen wie:

    Code:
    Warning: Checking for possible rootkit strings    [ Warning ]
            Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit
            Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
     
    Warning: Hidden directory found: /dev/.udev
    Warning: Hidden directory found: /dev/.mdadm
    Warning: Hidden directory found: /dev/.initramfs
    Dazu öffnet man die /etc/rkhunter.conf und fügt nach INSTALLDIR="/usr" die folgenden Zeilen am Ende ein:

    Code:
    # SOF
    RTKT_FILE_WHITELIST="/etc/init.d/hdparm /etc/init.d/bootlogd /etc/init.d/checkroot.sh /etc/init.d/.depend.boot"
    
    USER_FILEPROP_FILES_DIRS="/etc/init.d/hdparm /etc/init.d/bootlogd /etc/init.d/checkroot.sh /etc/init.d/.depend.boot"
    
    SCRIPTWHITELIST="/etc/init.d/hdparm"
    SCRIPTWHITELIST="/etc/init.d/bootlogd"
    SCRIPTWHITELIST="/etc/init.d/checkroot.sh"
    
    ALLOWHIDDENDIR=/dev/.initramfs
    ALLOWHIDDENDIR=/dev/.udev
    ALLOWHIDDENDIR=/dev/.mdadm
     
    # EOF
    __________________
    Debian6 Mini-HowTos
     
    Zuletzt bearbeitet: 27. März 2013

Diese Seite empfehlen