Назад | Перейти на главную страницу

rkhunter - удаленные файлы - проблемы с белым списком

Я работаю над безопасностью нового развертывания Debian LAMP и решил включить rkhunter (v1.4.2) в свое решение безопасности.
Я запустил его, используя следующие параметры:
rkhunter -c --enable all --disable none --skip-keypress
Все проверки завершены положительно или пропущены, за исключением одной проверки удаленных файлов. После беглого просмотра файла .log я обнаружил, что виноваты следующие:

[19:59:10] Информация: Начальное имя теста «удаленные_файлы»
[19:59:11] Проверка запущенных процессов на наличие удаленных файлов [Предупреждение]
[19:59:11] Предупреждение: следующие процессы используют удаленные файлы:
[19:59:11] Процесс: / usr / sbin / mysqld PID: 1480 Файл: / tmp / ib5VMAPQ
[19:59:11] Процесс: / usr / sbin / apache2 PID: 1792 Файл: /run/lock/apache2/ssl-cache.1247
[...] # здесь еще пара повторений, с разными PID
[19:59:11] Процесс: / usr / sbin / apache2 PID: 1813 Файл: /run/lock/apache2/ssl-cache.1247

Я счел их безвредными / законными и внес эти процессы / файлы в белый список.
В /etc/rkhunter.conf Я нашел линию #ALLOWPROCDELFILE=/usr/sbin/mysqld:/tmp/ib* и не прокомментировал это. Я также добавил ALLOWPROCDELFILE=/usr/sbin/apache2:/run/lock/apache2/ssl-cache.* под списком прокомментированных примеров.
К сожалению, при повторном запуске rkhunter (с теми же параметрами) я все еще получаю те же самые предупреждения. Нужно ли вообще включать белый список или делать что-то еще дополнительно?
Заранее спасибо.

ALLOWPROCDELFILE=/usr/sbin/mysqld
ALLOWPROCDELFILE=/usr/sbin/apache2

или

ALLOWPROCDELFILE=/usr/sbin/mysqld:/tmp/ib5VMAPQ
ALLOWPROCDELFILE=/usr/sbin/apache2:/run/lock/apache2/ssl-cache.1247

PID различается в каждом конкретном случае, поэтому я думаю, что второй вариант нереален. Я не уверен, почему RKH не работает правильно, но он не расширяет регулярные выражения в $ ALLOWPROCDELFILE (S).

или

Если можно скрипт RKH переписать

--- rkhunter        2015-12-07 03:28:53.000000000 +0900
+++ rkhunter.neu    2016-03-30 13:33:19.328416849 +0900
@@ -13395,7 +13395,7 @@
FNAMEGREP=`echo "${RKHTMPVAR3}" | sed -e 's/\([.$*?\\]\)/\\\\\1/g; s/\[/\\\\[/g; s/\]/\\\\]/g'`
- if [ -n "`echo \"${FNAME}\" | grep \"^${FNAMEGREP}$\"`" ]; then
+ if [ -n "`echo \"${FNAME}\" | grep \"^${RKHTMPVAR3}$\"`" ]; then
   PROCWHITELISTED=1
  fi
 else