几天前我安装了 Ubuntu 14.04。我用 RkHunter 扫描了一下,收到了一些警告,我真的不知道该怎么处理。我读了一些关于误报的文章,但我并没有真正找到答案。我得到了这些错误:
Checking /dev for suspicious file types [ Warning ]
[19:44:16] Warning: Suspicious file types found in /dev:
[19:44:16] /dev/.udev/rules.d/root.rules: ASCII text
[19:44:16] Checking for hidden files and directories [ Warning ]
[19:44:16] Warning: Hidden directory found: /etc/.java: directory
[19:44:16] Warning: Hidden directory found: /dev/.udev: directory
[19:44:16] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Checking for group file changes [ Warning ]
[19:44:16] Warning: Group 'winbindd_priv' has been added to the group file.
我应该担心吗?
答案1
好的,让我们来分析一下:
[19:44:16] /dev/.udev/rules.d/root.rules:ASCII 文本
[19:44:16] 警告:发现隐藏目录:/etc/.java:目录
[19:44:16] 警告:发现隐藏目录:/dev/.udev:目录
[19:44:16] 警告:发现隐藏文件:/dev/.initramfs:指向“/run/initramfs”的符号链接
- 隐藏文件有问题?为什么?对我来说,隐藏文件似乎是 Linux 的一个功能。
- 错误报告和使固定。
- “修复”还显示了 rkhunter 的一个严重缺陷:将文件放入配置文件中以便跳过这些文件简直是愚蠢至极。确实如此。想想这意味着什么:如果我将磁盘上的所有文件都添加到配置文件中以便跳过这些文件,那么我就永远不会得到 rootkit?不,这实际上意味着 rootkit 有额外的地方可以隐藏自己。在我看来,这似乎适得其反。
[19:44:16] 警告:组“winbindd_priv”已添加到组文件。
顺便说一句:您是选择使用 rkunter 的人,因此您还需要在收到任何警告时自己进行这些搜索。
要么不要使用 rkhunter,要么安装第二个单独的(所以不是莱尼斯因为它是 rkhunter 克隆版)(chrootkit.org似乎已关闭;软件仍在存储库中可用)。同时运行两者,并将其中只有 1 个报告为问题的任何内容丢弃为误报。Debian 上 rkhunter 的软件包信息也提到了这一点。
答案2
不,您不必担心误报。
如何安装、配置和使用 RKhunter 请参阅RKhunter 社区页面。您还可以在那里找到有关一些预期结果(例如您的结果)以及如何正确将它们列入白名单的详细解释。