我有rkhunter版本1.4.2,我只是想知道APT_AUTOGEN我当前启用的选项。这是否意味着当我安装新软件时,它只会将该软件添加到“白名单”中,还是意味着它将所有新安装的软件添加到“白名单”中?
所以基本上如果我安装了一个 rootkit(不是通过 APT),然后我通过 apt 安装了一些普通软件APT_AUTOGEN,这是否意味着当运行 rootkit 扫描时rkhunter它不会检测到 rootkit,或者这仅仅意味着我通过 APT 安装的那个特定软件不会被检测为坏的?
答案1
启用该APT_AUTOGEN选项意味着当您使用 APT 安装或删除软件时,所做的更改将添加到rkhunter文件属性数据库(有点像白名单),以减少误报的可能性。但是,它不会使用系统的所有新更改来更新文件属性数据库,因此如果您确实安装了 rootkit(不是通过 APT),然后通过 APT 安装了一些其他软件(不是 rootkit),那么如果您进行了扫描(使用rkhunter),并且 rootkit 是已知的 rootkit,它将被选中,因为只有您通过 APT 安装的软件才会被添加到文件属性数据库,而不会添加系统中的任何其他更改。