我正在努力确保新的 Debian LAMP 部署的安全,并决定将 rkhunter (v1.4.2) 纳入我的安全解决方案中。
我使用以下选项运行它:
rkhunter -c --enable all --disable none --skip-keypress
所有检查均已完成或跳过,但有一个检查是已删除文件。快速查看 .log 文件后,我发现罪魁祸首是:
[19:59:10] 信息:启动测试名称“deleted_files”
[19:59:11] 检查正在运行的进程中是否有已删除的文件 [警告]
[19:59:11] 警告:以下进程正在使用已删除的文件:
[19:59:11] 进程:/usr/sbin/mysqld PID:1480 文件:/tmp/ib5VMAPQ
[19:59:11] 进程:/usr/sbin/apache2 PID:1792 文件:/run/lock/apache2/ssl-cache.1247
[...] # 这里还有几次重复,使用不同的 PID
[19:59:11] 进程:/usr/sbin/apache2 PID:1813 文件:/run/lock/apache2/ssl-cache.1247
我判断这些是无害/合法的,并继续将这些进程/文件列入白名单。
我/etc/rkhunter.conf找到了该行
#ALLOWPROCDELFILE=/usr/sbin/mysqld:/tmp/ib*并取消了注释。我还在ALLOWPROCDELFILE=/usr/sbin/apache2:/run/lock/apache2/ssl-cache.*下面添加了注释示例列表。
不幸的是,当再次运行 rkhunter(使用相同选项)时,我仍然收到完全相同的警告。我是否需要启用白名单或另外做其他事情?
提前谢谢您。
答案1
ALLOWPROCDELFILE=/usr/sbin/mysqld
ALLOWPROCDELFILE=/usr/sbin/apache2
或者
ALLOWPROCDELFILE=/usr/sbin/mysqld:/tmp/ib5VMAPQ
ALLOWPROCDELFILE=/usr/sbin/apache2:/run/lock/apache2/ssl-cache.1247
PID 因情况而异,所以我认为第二种选择不现实。我不确定为什么 RKH 不能正常工作,但它并没有在 $ALLOWPROCDELFILE(S) 中扩展正则表达式。
或者
如果你可以重写 RKH 脚本
--- rkhunter 2015-12-07 03:28:53.000000000 +0900
+++ rkhunter.neu 2016-03-30 13:33:19.328416849 +0900
@@ -13395,7 +13395,7 @@
FNAMEGREP=`echo "${RKHTMPVAR3}" | sed -e 's/\([.$*?\\]\)/\\\\\1/g; s/\[/\\\\[/g; s/\]/\\\\]/g'`
- if [ -n "`echo \"${FNAME}\" | grep \"^${FNAMEGREP}$\"`" ]; then
+ if [ -n "`echo \"${FNAME}\" | grep \"^${RKHTMPVAR3}$\"`" ]; then
PROCWHITELISTED=1
fi
else