我试图在rkhunter配置中弄清楚如何将某些端口的检测列入白名单,例如用于 IRCds 的端口,以及用于在非标准端口上运行的服务的其他端口。
是否有人知道如何配置它,以便rkhunter不会发出有关检测我希望列入白名单的端口的警告?
答案1
您编辑/etc/rkhunter.conf
# command line
sudo -e /etc/rkhunter.conf
# graphical
gksu gedit /etc/rkhunter.conf
在WHITELIST_PORTS部分下,添加您的白名单。配置文件中有示例。
# Syntax /full/path/to/binary Protocol:port
# Protocol = TCP / UDP
# You may use wildcards
PORT_WHITELIST=”/usr/sbin/privoxy TCP:8118″
#for multiple binaries / ports , list them as per the config file
PORT_WHITELIST="/usr/sbin/privoxy /usr/sbin/squid TCP:8118 TCP:3128"
# Alternate
PORT_WHITELIST="* TCP:22 TCP:80 TCP:443 TCP:8080"
答案2
@Panther 的回复是正确的。但是您也可以将可执行文件的整个路径列入白名单。例如:
- 将所有开放端口列入可执行文件的白名单在 /usr/sbin/squid
PORT_PATH_WHITELIST=/usr/sbin/squid
- 白名单 TCP 端口3801对于可执行文件在 /usr/sbin/squid
PORT_PATH_WHITELIST=/usr/sbin/squid:TCP:3801
所有这些以及附加解释都写在rkhunter.conf文件。
附言:我刚刚遇到了这个问题,我觉得将来有人可以从中受益。