在 rkhunter 中将端口列入检测白名单

在 rkhunter 中将端口列入检测白名单

我试图在rkhunter配置中弄清楚如何将某些端口的检测列入白名单,例如用于 IRCds 的端口,以及用于在非标准端口上运行的服务的其他端口。

是否有人知道如何配置它,以便rkhunter不会发出有关检测我希望列入白名单的端口的警告?

答案1

您编辑/etc/rkhunter.conf

# command line
sudo -e /etc/rkhunter.conf

# graphical
gksu gedit /etc/rkhunter.conf

WHITELIST_PORTS部分下,添加您的白名单。配置文件中有示例。

# Syntax /full/path/to/binary Protocol:port
# Protocol = TCP / UDP 
# You may use wildcards

PORT_WHITELIST=”/usr/sbin/privoxy TCP:8118″

#for multiple binaries / ports , list them as per the config file
PORT_WHITELIST="/usr/sbin/privoxy /usr/sbin/squid TCP:8118 TCP:3128"

# Alternate
PORT_WHITELIST="* TCP:22 TCP:80 TCP:443 TCP:8080"

答案2

@Panther 的回复是正确的。但是您也可以将可执行文件的整个路径列入白名单。例如:

  • 将所有开放端口列入可执行文件的白名单在 /usr/sbin/squid

PORT_PATH_WHITELIST=/usr/sbin/squid

  • 白名单 TCP 端口3801对于可执行文件在 /usr/sbin/squid

PORT_PATH_WHITELIST=/usr/sbin/squid:TCP:3801

所有这些以及附加解释都写在rkhunter.conf文件。

附言:我刚刚遇到了这个问题,我觉得将来有人可以从中受益。

相关内容