Nov
4
Nach der Installation von "rkhunter" unter Linux (z.B. Distribution Ubuntu oder Debian) kann es nach dem nächtlichen Cronjob zu einer Warnung im E-Mail-Report kommen. Die Warnung beinhaltet die Information, dass im Verzeichnis "/dev/" verschiedene versteckte Ordner gefunden wurden. Versteckt sind die Ordner, da sie zu Beginn des Ordnernamens einen Punkt enthalten. Zum Beispiel "/dev/.static".
Um nicht in jeder Nacht die Warnung vom Rootkit Hunter (Daily Report via Cronjob) zu erhalten, dass versteckte Ordner auf dem System gefunden wurden, sollte hier die "rkhunter.conf" im Verzeichnis "/etc/" angepasst werden. Udev und initramfs kann in diesem Fall vertraut werden. Öffnen wir die rkhunter.conf mit einem beliebigen Texteditor in Linux und suchen nach der Zeile "ALLOWHIDDENDIR=/dev/.udev". Als Standardkonfiguration ist diese Zeile mit einer Raute kommentiert. - Aktiviert wird diese Zeile, indem die Raute entfernt wird. Diesen Schritt führen wir ebenfalls für "initramfs" aus.
Nach dem Speichern der Konfiguration solltet ihr sicherheitshalber die rkhunter-Eigenschaften aktualisieren und den Scan erneut durchführen.
Im folgenden Beispiel wird ein Property-Update (--propupd) ohne Ausgabe (--sk) ausgeführt.
Bei der Konfiguration von rkhunter solltet ihr dennoch vorsichtig vorgehen, denn gerade beim Erlauben von versteckten Ordnern wird grundsätzlich eine Sicherheitslücke erzeugt.
Erkundigt euch lieber vorher im Netz, was diese versteckten Ordner und Dateien ausführen, bevor ihr dem Rootkit Hunter mitteilt, dass diese Ordner und Dateien beim Scan ignoriert bzw. erlaubt werden dürfen.