rkhunter で /etc/rkhunter.conf の変更が検出される。



ルートキット検出ツールである rkhunter を Linux サーバーにインストールして利用しています。

あるサーバーだけ /etc/rkhunter.conf の変更が検出されてしまうようになりました。ワーニングがあるとメールが届くようにしてあって、次のような検出内容が記載されています。

rkhunter 自身の設定ファイルである /etc/rkhunter.conf について、パッケージマネージャーの検証をしたら変更があるということで警告されています。

RPM に含まれているものからファイルが変更されているよ、ということですね。もちろん設定ファイルなので変更するのはある意味当然なのです。

他のサーバーではこのような警告はきてませんので、該当サーバーを調べてみたところ、rkhunter.conf の USER_FILEPROP_FILES_DIRS で以下の設定がされていました。

この行をコメントにしてやると警告は出なくなりました。USER_FILEPROP_FILES_DIRS は自分で監視対象のファイルやディレクトリを追加する場合に利用します。

/etc/rkhunter.conf を監視対象にしつつ、Package Manager の検証対象から外すには、PKGMGR_NO_VRFY を併用します。

もっとも、rkhutner.conf を改竄する侵入者であれば rkhunter --propupd コマンドも実行できるでしょう。このケースに限ってはあまり意味が無いかもしれませんが、他のファイル・ディレクトリには応用できると思います。

ITエンジニア募集中!

キュアコード株式会社はITエンジニアを募集しております。少人数の職場なので、上流・下流やサーバー・クライアント対応の垣根なく、あなたの強みを活かしながら いろいろなことにチャレンジ可能です。エンジニアとしての未経験の方、経験が少ない方も歓迎しています。

下記よりITエンジニア募集の採用情報をご覧いただけます。


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


  • キュア子の紹介

人気記事ランキング