Autor Thema: rkhunter.conf warnings  (Gelesen 133 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline miroo

  • Neuling
  • *
  • Beiträge: 43
  • Desktop: XFCE 18.0.2
  • Grafikkarte: Nvidia 630
  • Grafikkartentreiber: Free: nv ? genäß OS
  • Kernel: > 5.7.
  • Prozessor: AMD FX 6300 6-core
  • Skill: Anfänger
  • Zweig: stable
rkhunter.conf warnings
« am: 28. September 2019, 10:21:55 »
Hallo Forum,
trotz einigen, mir bekannten Einstellungen im rkhunter.conf, erscheinen einige s.u. warnings, die man sicher-lich abbestellen könnte ?!
Kann mir bitte hierbei jemand behilflich sein ?
Vielen Dank, miroo

  Checking for passwd file changes                         [ Warning ]
  Checking for group file changes                            [ Warning ]
  Checking if SSH protocol v1 is allowed                 [ Warning ]

System checks summary
=====================
File properties checks...
    Files checked: 128
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 504
    Possible rootkits: 2
    Rootkit names    : Sniffer component, Spam tool component
((8-{0

Offline gosia

  • Held Mitglied
  • *****
  • Beiträge: 1663
  • Dankeschön: 323 mal
  • Desktop: Openbox + xfce
  • Grafikkarte: Intel HD 4000
  • Grafikkartentreiber: i915 (free)
  • Kernel: 4.19 Artix
  • Prozessor: Intel Core i5-3210M
  • Skill: Durchschnitt
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #1 am: 28. September 2019, 17:08:18 »
Hallo miroo,
trotz einigen, mir bekannten Einstellungen im rkhunter.conf
leider weiss ich nicht, welchen Einstellungen dir bekannt sind ;) aber auf jeden Fall kannst Du schon mal diese Einstellungen white-listen
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/ldd
Was das hier betrifft
  Checking for passwd file changes                         [ Warning ]
  Checking for group file changes                            [ Warning ]
so kannst Du ja auf jeden Fall nachsehen, ob sich in der passwd ungebetene Gäste eingeschlichen haben (was ich nicht glaube). ber die hängen zusammen, weil z.B.
rkhunter --enable group_changessowohl die /etc/group als auch die /etc/passwd kontrolliert. Könnte man weglassen, wenn man sie in die ISABLE_TESTS-Liste einträgt. Details dazu siehe
https://sourceforge.net/p/rkhunter/rkh_code/ci/master/tree/files/README
  Checking if SSH protocol v1 is allowed                 [ Warning ]
Diese Warnung ist meistens egal, weil die Akzeptanz von Protokollversion 1 vom entfernten Server abhängt. Kanst Du durch einen Eintrag ALLOW_SSH_PROT_V1=2 im Configfile unterdrücken.

viele Grüße gosia
"funktioniert nicht" ist keine brauchbare Fehlermeldung

Offline miroo

  • Neuling
  • *
  • Beiträge: 43
  • Desktop: XFCE 18.0.2
  • Grafikkarte: Nvidia 630
  • Grafikkartentreiber: Free: nv ? genäß OS
  • Kernel: > 5.7.
  • Prozessor: AMD FX 6300 6-core
  • Skill: Anfänger
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #2 am: 28. September 2019, 18:54:58 »
Hallo gosia,
mfg inkl. mein kotau. Wirklich schön, dass etwas 'rüber' kommt. Hätte gerne gewusst, sp. einiges, was man im allg. empfiehlt und rät z.B  über lsat. Als User ist man recht orientierungslos sp. maßlos Verlassen. Somit gehen sicherlich viele gute Ideen verloren     ((8:-o
Vielen Dank, miroo
((8-{0

Offline miroo

  • Neuling
  • *
  • Beiträge: 43
  • Desktop: XFCE 18.0.2
  • Grafikkarte: Nvidia 630
  • Grafikkartentreiber: Free: nv ? genäß OS
  • Kernel: > 5.7.
  • Prozessor: AMD FX 6300 6-core
  • Skill: Anfänger
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #3 am: 29. September 2019, 06:38:17 »
Hallo gosia,
Besten Dank, vor allem die letzte Zeile 'checking SSH .. fehlte mir. Den Rest hole ich noch nach.
Beim check der /var/log/rkhunter.log fand ich noch folgende Zeilen:
Warning: Checking for possible rootkit files and directories [ Warning ]
         Found file '/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/usr/lib/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
         Found file '/usr/lib64/libkeyutils.so.1.9'. Possible rootkit: Sniffer component
Q: wie soll man diese Hinweise verstehen, bzw. was soll man dafür oder dagegen tun ?
Gruß, miroo
((8-{0

Offline gosia

  • Held Mitglied
  • *****
  • Beiträge: 1663
  • Dankeschön: 323 mal
  • Desktop: Openbox + xfce
  • Grafikkarte: Intel HD 4000
  • Grafikkartentreiber: i915 (free)
  • Kernel: 4.19 Artix
  • Prozessor: Intel Core i5-3210M
  • Skill: Durchschnitt
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #4 am: 29. September 2019, 11:22:17 »
Hallo miroo,
wie soll man diese Hinweise verstehen, bzw. was soll man dafür oder dagegen tun ?
Das sind "false positive".
https://bugs.archlinux.org/task/63369

viele Grüße gosia
"funktioniert nicht" ist keine brauchbare Fehlermeldung

Offline miroo

  • Neuling
  • *
  • Beiträge: 43
  • Desktop: XFCE 18.0.2
  • Grafikkarte: Nvidia 630
  • Grafikkartentreiber: Free: nv ? genäß OS
  • Kernel: > 5.7.
  • Prozessor: AMD FX 6300 6-core
  • Skill: Anfänger
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #5 am: 30. September 2019, 09:16:47 »
Schönen guten Morgen gosia,
die false positive sind wie die Doppelverneinung bei Win, somit könnte man diese Hinweise schließlich abbestellen - oder?
((8-{0

Offline gosia

  • Held Mitglied
  • *****
  • Beiträge: 1663
  • Dankeschön: 323 mal
  • Desktop: Openbox + xfce
  • Grafikkarte: Intel HD 4000
  • Grafikkartentreiber: i915 (free)
  • Kernel: 4.19 Artix
  • Prozessor: Intel Core i5-3210M
  • Skill: Durchschnitt
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #6 am: 30. September 2019, 14:00:21 »
Hallo miroo,
was auch immer
Doppelverneinung bei Win
ist, mach einfach das, was helle vaanzinn im Kommentar vom 08 August 2019, 22:35 empfiehlt
https://bugs.archlinux.org/task/63369

"false positive" sind in dem Fall Warnungen, die ignoriert werden können.

viele Grüße gosia
"funktioniert nicht" ist keine brauchbare Fehlermeldung

Offline miroo

  • Neuling
  • *
  • Beiträge: 43
  • Desktop: XFCE 18.0.2
  • Grafikkarte: Nvidia 630
  • Grafikkartentreiber: Free: nv ? genäß OS
  • Kernel: > 5.7.
  • Prozessor: AMD FX 6300 6-core
  • Skill: Anfänger
  • Zweig: stable
Re: rkhunter.conf warnings
« Antwort #7 am: 30. September 2019, 14:10:44 »
Danke, ..
CU miroo
((8-{0