这里有一台安装了 rkhunter 的 CentOS 7 服务器。从昨天起,我们收到以下 rkhunter 警告:
[01:10:30] Info: Starting test name 'packet_cap_apps'
[01:10:30] Checking for packet capturing applications [ Warning ]
[01:10:30] Warning: Process '/usr/sbin/NetworkManager' (PID 4654) is listening on the network.
有没有办法将测试列入白/usr/sbin/NetworkManager名单packet_cap_apps?
答案1
在 中rkhunter.conf有一个选项可以使用参数禁用对某些应用程序的测试,DISABLE_TESTS您可以在其中添加您不想测试的应用程序作为空格分隔值。或者,如果您仍想在 上运行测试,您可以使用SCRIPTWHITELIST白名单选项。/usr/sbin/NetworkManagerpacket_cap_apps
答案2
您将需要使用ALLOWPROCLISTEN指令来代替SCRIPTWHITELIST:
ALLOWPROCLISTEN=/usr/sbin/NetworkManager
问候,
迈克尔