Entries


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

-件のコメント

コメントの投稿

新規

※設定NGワードは『http』です

投稿した内容は管理者にだけ閲覧出来ます

-件のトラックバック

トラックバックURL
http://pugiemonn.blog6.fc2.com/tb.php/1260-7ea2a119

rkhunterインストール直後のwarningを消してみる


rkhunterをインストールしました.だいぶ前に.

インストールは簡単でして,検索すると色々でてくるのでそこを参考にしました.

さて,インストール直後にrkhunterを実行するとエラーがでてしまいました.rkhunterは実行時に異常があるとメールを投げてくれる設定があるのですが,最初からエラーが出ている状態で設定すると,実行時に毎回エラーメールが投げられてしまいます.

これでは都合が良くないので,エラーを消してからメール設定をするといいでしょう.

インストールと実行


まずは検索して参考にします.
Rootkit Hunter で不正侵入検知!

ファイルの取得
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.3.6/rkhunter-1.3.6.tar.gz
tar zxf rkhunter -1.3.6.tar.gz

インストール
cd rkhunter-1.3.6
./installer.sh

もろもろをアップデートなど実行しておきましょう.
rkhunter --update
rkhunter --propupd

ヘルプはオプションに--helpで表示できます.
rkhunter --help

実行は-cと--keypressをつけるのが普通みたいです.
rkhunter -c --skip-keypress

これをやると表示がずらずらされます.ログは/var/log/rkhunter.logにあります.
たくさん表示されるのが面倒な場合はエラーだけを表示してくれるオプションがあります.--report-warnings-onlyをつけて実行します.
rkhunter -c --report-warnings-only

今度はエラーだけが表示されました.

rkhunter.confの設定でwarningエラーを消す


表示されたエラーを見てみます.
Warning: The command '/usr/bin/GET' has been replaced by a script: /usr/bin/GET: perl script text executable
Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne shell script text executable
Warning: The command '/sbin/ifdown' has been replaced by a script: /sbin/ifdown: Bourne-Again shell script text executable
Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text executable
Warning: Network TCP port 1984 is being used. Possible rootkit: Fuckit Rootkit
Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': without-password
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /usr/share/man/man1/..1.gz: gzip compressed data, from Unix, max compression
Warning: Hidden file found: /usr/bin/.fipscheck.hmac: ASCII text
Warning: Hidden file found: /usr/bin/.ssh.hmac: ASCII text
Warning: Hidden file found: /usr/sbin/.sshd.hmac: ASCII text
Warning: Application 'httpd', version '2.2.3', is out of date, and possibly a security risk.
Warning: Application 'openssl', version '0.9.8e', is out of date, and possibly a security risk.
Warning: Application 'php', version '5.1.6', is out of date, and possibly a security risk.

初期エラーがでたままだと都合が悪いので消しておきます.色々ありますがすべて/etc/rkhunter.confを編集することで消すことができます.

コマンドエラーについて

Warning: The command '/usr/bin/GET' has been replaced by a script: /usr/bin/GET: perl script text executable

このコマンドエラーを消すにはSCRIPTWHITELISTを指定します.SCRIPTWHITELIST=/usr/bin/GETのように一コマンド一行ごとに記述します.

ポートエラーについて

Warning: Network TCP port 1984 is being used. Possible rootkit: Fuckit Rootkit
Use the 'lsof -i' or 'netstat -an' command to check this.

port1984が使用されているというエラーが出ています.しかしこれはxymonで使用しており,使用しても問題のないポートです. ですからPORT_WHITELISTを指定します.PORT_WHITELIST="TCP:1984"とします.

SSHとオプションを一緒にしろというエラーについて

Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': without-password
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

これはエラーに表示されるまま,つまりSSHのPermitRootLoginとrkhunterのALLOW_SSH_ROOT_USERに同じ値を指定してあげればOKです.

SSHのPermitRootLoginについてはSSHD_CONFIG (5)にありますが,/etc/ssh/sshd_configでPermitRootLoginを設定できます.

この場合、ssh_configのPermitRootLoginがパスワード認証によるログインを禁止する設定であるwithout-passwordになっているので, rkhunter側もALLOW_SSH_ROOT_USER=without-passwordとしてあげます.

隠されたディレクトリやファイルがあるというエラーについて

Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /usr/share/man/man1/..1.gz: gzip compressed data, from Unix, max compression

隠されているとやばいみたいです.ALLOWHIDDENDIRとALLOWHIDDENFILEにエラー部分を指定します.ALLOWHIDDENDIR=/dev/.udevとか,ALLOWHIDDENFILE=/usr/share/man/man1/..1.gzとしてあげます.

Applicationのエラーについて

Warning: Application 'httpd', version '2.2.3', is out of date, and possibly a security risk.

アプリケーションがダメらしいです.エラーがでたものをAPP_WHITELISTに指定してあげます.APP_WHITELIST="httpd:2.2.3 named openssl php sshd"こんな感じに複数指定やバージョン指定ができます.


エラーが消えたのでメールの設定をするなりご自由に


rkhunter.confの設定で初期に表示される警告エラーを消すことができました./etc/rkhunter.confを編集したら必ずrkhunter --propupdを実行します.これをしないとまたエラーが出るはずです.

以上で初期のエラーは出なくなったはずなので,crontabを指定するなり,なんなりでメールを投げる設定をしてください.異常検知ができるはずです.

   / ̄ ̄\
 /   _ノ  \
 |    ( ●)(●)
. |     (__人__)
  |     ` ⌒´ノ
.  |         }  ミ        ピコッ
.  ヽ        } ミ  /\  ,☆____
   ヽ     ノ    \  \ /     \
   /    く  \.  /\/ ─    ─ \
   |     `ー一⌒)  /   (●)  (●)  \ ホワイトリスト使いまくったらエラー消せたから
    |    i´ ̄ ̄ ̄ \ |      (__人__)     | 後のことは知らないお
               \_   ` ⌒´    /
                /          \


ポケットモンスター ホワイトストーリー (ポケモンアニメ絵本ワンコインシリーズ)ポケットモンスター ホワイトストーリー (ポケモンアニメ絵本ワンコインシリーズ)
(2009/12/01)
不明

商品詳細を見る

0件のコメント

コメントの投稿

新規

※設定NGワードは『http』です

投稿した内容は管理者にだけ閲覧出来ます

0件のトラックバック

トラックバックURL
http://pugiemonn.blog6.fc2.com/tb.php/1260-7ea2a119

Appendix

プロフィール

川崎修

  • Author:川崎修
  • インターネット大好き!
    調布周辺で自宅警備してます



    メール:pugiemonn@gmail.com
    skype:pugiemonn
    twilog:Twilog
    mixi:mixi
    facebook:facebook
My Profile by iddy
FC2ブログ

カレンダー

06 | 2017/07 | 08
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

最近の記事

Twitter

コミュニティ

ブログ内検索

ブロとも申請フォーム

この人とブロともになる

Adsense

月別アーカイブ

はてぶ数

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。