rkhunter で /etc/rkhunter.conf の変更が検出される。



ルートキット検出ツールである rkhunter を Linux サーバーにインストールして利用しています。

あるサーバーだけ /etc/rkhunter.conf の変更が検出されてしまうようになりました。ワーニングがあるとメールが届くようにしてあって、次のような検出内容が記載されています。

rkhunter 自身の設定ファイルである /etc/rkhunter.conf について、パッケージマネージャーの検証をしたら変更があるということで警告されています。

RPM に含まれているものからファイルが変更されているよ、ということですね。もちろん設定ファイルなので変更するのはある意味当然なのです。

他のサーバーではこのような警告はきてませんので、該当サーバーを調べてみたところ、rkhunter.conf の USER_FILEPROP_FILES_DIRS で以下の設定がされていました。

この行をコメントにしてやると警告は出なくなりました。USER_FILEPROP_FILES_DIRS は自分で監視対象のファイルやディレクトリを追加する場合に利用します。

/etc/rkhunter.conf を監視対象にしつつ、Package Manager の検証対象から外すには、PKGMGR_NO_VRFY を併用します。

もっとも、rkhutner.conf を改竄する侵入者であれば rkhunter --propupd コマンドも実行できるでしょう。このケースに限ってはあまり意味が無いかもしれませんが、他のファイル・ディレクトリには応用できると思います。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • キュア子の紹介

人気記事ランキング