Назад | Перейти на главную страницу

Добавить файл / каталог для проверки rkhunter

Мой вопрос очень простой, и я очень удивлен, увидев, что этот вопрос не задавали раньше.

Как добавить файл или каталог в проверку rkhunter? При этом я мог видеть, что мой каталог появляется в команде 'rkhunter --propupd'. Я знаю, что могу изменить файл .dat, но если я сделаю это, я лучше сам сделаю сценарий, чтобы проверить md5sum / sha1sum для моего конкретного каталога.

Надеюсь, что кто-нибудь может мне помочь! Хорошего дня :)

РЕДАКТИРОВАТЬ: Может я вас запутал (конечно, я написал или вместо того и...)

Вот пошаговая инструкция:

mkdir /var/local/test
touch /var/local/test/test.bla

добавить конфигурацию в rkhunter.conf:

USER_FILEPROP_FILES_DIRS="/var/local/test/test.bla"

бегать rkhunter --propupd

бегать rkhunter --check [--sk] (при желании не должно возвращать ошибок или предупреждений)

отредактируйте файл /var/local/test/test.bla

бегать rkhunter --check [--sk]

мой вывод:

/bin/dash                                                [ OK ]

/var/local/test/test.bla                                 [ Warning ]

Вы также можете использовать /var/local/test/* как подстановочный знак для всех файлов в этом каталоге.


Это аргумент командной строки для --propupd:

Со страницы руководства (выделено мной)

--propupd [{имя файла | каталог | имя пакета}, ...] Одна из проверок, которую выполняет rkhunter, - это сравнение различных текущих свойств файла различных команд с теми, которые он ранее сохранил. Этот параметр команды заставляет rkhunter обновлять свой файл данных с сохраненными значениями текущими значениями. Если используется опция имени файла, то это должен быть либо полный путь, либо простое имя файла (например, 'awk'). При использовании обновляется только запись в базе данных свойств файла для этого файла. Если используется опция каталога, то будут обновлены только те файлы, перечисленные в базе данных, которые находятся в данном каталоге. Точно так же, если используется опция имени пакета, то будут обновлены только те файлы в базе данных, которые являются частью указанного пакета. Имя пакета должно быть базовой частью имени, номера версий не должны включаться, например, coreutils. Имена пакетов, конечно, будут храниться в базе данных свойств файлов только в том случае, если используется менеджер пакетов. Если имя пакета совпадает с именем файла - например, «файл» может относиться к команде «файл» или к пакету RPM «файл» (который содержит команду «файл») - будет использоваться имя пакета. . Если не указан конкретный вариант, обновляется вся база данных.

ПРЕДУПРЕЖДЕНИЕ. Пользователи несут ответственность за то, чтобы файлы в системе были подлинными и были получены из надежного источника. rkhunter может сообщать только об изменении файла, но не о том, что вызвало изменение. Следовательно, если файл был изменен и используется опция команды --propupd, то rkhunter будет считать, что файл подлинный.

Или И, конечно, поменять его на rkhunter.conf:

#
# This option is a space-separated list of commands, directories and file
# pathnames which will be included in the file properties checks.
# This option can be specified more than once.
#
# Whenever this option is changed, 'rkhunter --propupd' must be run.
#
# Simple command names - for example, 'top' - and directory names are
# added to the internal list of directories to be searched for each of
# the command names in the command list. Additionally, full pathnames
# to files, which need not be commands, may be given. Any files or
# directories which are already part of the internal lists will be
# silently ignored from the configuration.
#
# Normal globbing wildcards are allowed, except for simple command names.
# For example, 'top*' cannot be given, but '/usr/bin/top*' is allowed.
#
# Specific files may be excluded by preceding their name with an
# exclamation mark (!). For example, '!/opt/top'. By combining this
# with wildcarding, whole directories can be excluded. For example,
# '/etc/* /etc/*/* !/etc/rc?.d/*'. This will look for files in the first
# two directory levels of '/etc'. However, anything in '/etc/rc0.d',
# '/etc/rc1.d', '/etc/rc2.d' and so on, will be excluded.
#
# NOTE: Only files and directories which have been added by the user,
# and are not part of the internal lists, can be excluded. So, for
# example, it is not possible to exclude the 'ps' command by using
# '!/bin/ps'. These will be silently ignored from the configuration.
#
#USER_FILEPROP_FILES_DIRS="top /usr/local/sbin !/opt/ps*"
#USER_FILEPROP_FILES_DIRS="/etc/rkhunter.conf"
#USER_FILEPROP_FILES_DIRS="/etc/rkhunter.conf.local"
#USER_FILEPROP_FILES_DIRS="/var/lib/rkhunter/db/*"
#USER_FILEPROP_FILES_DIRS="!/var/lib/rkhunter/db/mirrors.dat"
#USER_FILEPROP_FILES_DIRS="!/var/lib/rkhunter/db/rkhunter*"
#USER_FILEPROP_FILES_DIRS="/var/lib/rkhunter/db/i18n/*"

Это должно добавить его в базу данных rkhunter.