Я работаю над безопасностью нового развертывания Debian LAMP и решил включить rkhunter (v1.4.2) в свое решение безопасности.
Я запустил его, используя следующие параметры:
rkhunter -c --enable all --disable none --skip-keypress
Все проверки завершены положительно или пропущены, за исключением одной проверки удаленных файлов. После беглого просмотра файла .log я обнаружил, что виноваты следующие:
[19:59:10] Информация: Начальное имя теста «удаленные_файлы»
[19:59:11] Проверка запущенных процессов на наличие удаленных файлов [Предупреждение]
[19:59:11] Предупреждение: следующие процессы используют удаленные файлы:
[19:59:11] Процесс: / usr / sbin / mysqld PID: 1480 Файл: / tmp / ib5VMAPQ
[19:59:11] Процесс: / usr / sbin / apache2 PID: 1792 Файл: /run/lock/apache2/ssl-cache.1247
[...] # здесь еще пара повторений, с разными PID
[19:59:11] Процесс: / usr / sbin / apache2 PID: 1813 Файл: /run/lock/apache2/ssl-cache.1247
Я счел их безвредными / законными и внес эти процессы / файлы в белый список.
В /etc/rkhunter.conf
Я нашел линию #ALLOWPROCDELFILE=/usr/sbin/mysqld:/tmp/ib*
и не прокомментировал это. Я также добавил ALLOWPROCDELFILE=/usr/sbin/apache2:/run/lock/apache2/ssl-cache.*
под списком прокомментированных примеров.
К сожалению, при повторном запуске rkhunter (с теми же параметрами) я все еще получаю те же самые предупреждения. Нужно ли вообще включать белый список или делать что-то еще дополнительно?
Заранее спасибо.
ALLOWPROCDELFILE=/usr/sbin/mysqld
ALLOWPROCDELFILE=/usr/sbin/apache2
или
ALLOWPROCDELFILE=/usr/sbin/mysqld:/tmp/ib5VMAPQ
ALLOWPROCDELFILE=/usr/sbin/apache2:/run/lock/apache2/ssl-cache.1247
PID различается в каждом конкретном случае, поэтому я думаю, что второй вариант нереален. Я не уверен, почему RKH не работает правильно, но он не расширяет регулярные выражения в $ ALLOWPROCDELFILE (S).
или
Если можно скрипт RKH переписать
--- rkhunter 2015-12-07 03:28:53.000000000 +0900
+++ rkhunter.neu 2016-03-30 13:33:19.328416849 +0900
@@ -13395,7 +13395,7 @@
FNAMEGREP=`echo "${RKHTMPVAR3}" | sed -e 's/\([.$*?\\]\)/\\\\\1/g; s/\[/\\\\[/g; s/\]/\\\\]/g'`
- if [ -n "`echo \"${FNAME}\" | grep \"^${FNAMEGREP}$\"`" ]; then
+ if [ -n "`echo \"${FNAME}\" | grep \"^${RKHTMPVAR3}$\"`" ]; then
PROCWHITELISTED=1
fi
else