我想要将 chkrootkit 的一些误报列入“白名单”,因此我想将其用作/etc/chkrootkit.conf“白名单”。
但这不起作用:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
但我仍然得到以下误报:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
我知道这不是真正的白名单,但误报不应该每天给我发送电子邮件。
chkrootkit version 0.49
答案1
你可以把它们放在...
/etc/chkrootkit.filter
当你把这个放进去...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
它将忽略 eth0 上的 dhclient。将此文件添加到/etc/cron.daily/chkrootkit。查找...
$CHKROOTKIT $RUN_DAILY_OPTS
使用您最喜欢的编辑器并将其更改为......
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
并(在开头某处)添加...
FILTER=/etc/chkrootkit.filter
后 ...
CF=/etc/chkrootkit.conf
在开始之前请先做...
./chkrootkit
它应该显示对 dhclient 的误报引用,编辑后再次运行。对 dhclient 的引用应该消失。
但请注意:您添加到此的任何内容如果被感染,您将不再收到警告。因此,请谨慎使用这种过滤方式。更好的办法是让“他们”更新其定义。