rkhunter で /etc/rkhunter.conf の変更が検出される。

2016年08月22日
Linux
rkhunter

ルートキット検出ツールである rkhunter を Linux サーバーにインストールして利用しています。

あるサーバーだけ /etc/rkhunter.conf の変更が検出されてしまうようになりました。ワーニングがあるとメールが届くようにしてあって、次のような検出内容が記載されています。

---------------------- Start Rootkit Hunter Scan ----------------------
Warning: Package manager verification has failed:
         File: /etc/rkhunter.conf
         The file hash value has changed
         The file size has changed
         The file modification time has changed

----------------------- End Rootkit Hunter Scan -----------------------

---------------------- Start Rootkit Hunter Scan ----------------------

Warning: Package manager verification has failed:

File: /etc/rkhunter.conf

The file hash value has changed

The file size has changed

The file modification time has changed

----------------------- End Rootkit Hunter Scan -----------------------

rkhunter 自身の設定ファイルである /etc/rkhunter.conf について、パッケージマネージャーの検証をしたら変更があるということで警告されています。

RPM に含まれているものからファイルが変更されているよ、ということですね。もちろん設定ファイルなので変更するのはある意味当然なのです。

他のサーバーではこのような警告はきてませんので、該当サーバーを調べてみたところ、rkhunter.conf の USER_FILEPROP_FILES_DIRS で以下の設定がされていました。

USER_FILEPROP_FILES_DIRS=/etc/rkhunter.conf

1	USER_FILEPROP_FILES_DIRS=/etc/rkhunter.conf

この行をコメントにしてやると警告は出なくなりました。USER_FILEPROP_FILES_DIRS は自分で監視対象のファイルやディレクトリを追加する場合に利用します。

/etc/rkhunter.conf を監視対象にしつつ、Package Manager の検証対象から外すには、PKGMGR_NO_VRFY を併用します。

USER_FILEPROP_FILES_DIRS=/etc/rkhunter.conf
PKGMGR_NO_VRFY=/etc/rkhunter.conf

1 2	USER_FILEPROP_FILES_DIRS=/etc/rkhunter.conf PKGMGR_NO_VRFY=/etc/rkhunter.conf

もっとも、rkhutner.conf を改竄する侵入者であれば rkhunter --propupd コマンドも実行できるでしょう。このケースに限ってはあまり意味が無いかもしれませんが、他のファイル・ディレクトリには応用できると思います。

ITエンジニア募集中！

キュアコード株式会社はITエンジニアを募集しております。少人数の職場なので、上流・下流やサーバー・クライアント対応の垣根なく、あなたの強みを活かしながらいろいろなことにチャレンジ可能です。エンジニアとしての未経験の方、経験が少ない方も歓迎しています。

下記よりITエンジニア募集の採用情報をご覧いただけます。

Redmine のサムネイル画像が Amazon S3 に格納できない件 Windows 10 でショートカットアイコンのショートカットキーが効かない