我通过 rkhunter 收到一组警告,似乎无法使用 ALLOWDEVFILE 来抑制这些警告。以下是被标记的部分内容:
Checking /dev for suspicious file types [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty7: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty6: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty5: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty4: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty3: ASCII text
/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty2: ASCII text
我尝试过以下所有技术(带和不带引号):
ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\x2ftty\x2ftty8"
ALLOWDEVFILE = "/dev/.udev/db/\\x2fdevices\\x2fvirtual\\x2ftty\\x2ftty8"
通配符似乎也不起作用:
ALLOWDEVFILE = "/dev/.udev/db/\x2fdevices\x2fvirtual\*"
文件名中的反斜杠似乎存在一些问题,因为即使正常的文件名制表符自动完成功能也无法在命令行中工作。有没有什么办法可以让 rkhunter 停止发出警告并不断向我发送电子邮件询问这组文件?
答案1
抛弃引号:
ALLOWDEVFILE = /dev/.udev/db/*
答案2
为了抑制 rkhunter 警告,您可以向 /etc/rkhunter.conf.local 添加白名单规则:
ALLOWDEVFILE=/dev/.udev/rules.d/root.rules
答案3
rkhunter 仍然存在,但白名单无法按预期工作。
使用 1.4.6 版本时,我需要明确指定要忽略的每个设备,通配符不起作用。
在/etc/rkhunter.conf就是例子:
#ALLOWDEVFILE=/dev/shm/pulse-shm-*
但是这不起作用。
我必须使用如下命令:
grep '^\[..:..:..\][[:blank:]]\{6\}.*/dev/shm/.*:' /var/log/rkhunter.log |\
awk '{print "ALLOWDEVFILE="$2}' | sed -e "s/:$//g | tee tmp-whitelist"
为了获得每个现有文件的干净输出,例如:
ALLOWDEVFILE=/dev/shm/qb-15527-19288-18-fDXy5h/qb-event-pve2-data
然后将每一行复制到/etc/rkhunter.conf。
当只有一台服务器时,这是可行的,但如果有很多服务器,那就不好了。
答案4
ALLOWDEVFILE=/dev/shm/zm.mmap*
/etc/rkhunter.conf 不喜欢空格,但通配符可以起作用。