serveurs:installation:rkhunter

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
serveurs:installation:rkhunter [2023/02/12 14:47] – [Envoi d'email via relai SMTP Google] jpmilcentserveurs:installation:rkhunter [2025/07/10 15:58] (Version actuelle) aungaro
Ligne 8: Ligne 8:
  
 ===== Installation de RKHunter ===== ===== Installation de RKHunter =====
-  * Installer le paquet : '' aptitude install rkhunter ''+  * Installer le paquet : '' apt install rkhunter ''
   * Indiquer les options du Cron de Rkhunter, en éditant : ''vi /etc/default/rkhunter'' <code bash /etc/default/rkhunter>   * Indiquer les options du Cron de Rkhunter, en éditant : ''vi /etc/default/rkhunter'' <code bash /etc/default/rkhunter>
 CRON_DAILY_RUN="yes" CRON_DAILY_RUN="yes"
Ligne 14: Ligne 14:
 DB_UPDATE_EMAIL="yes" DB_UPDATE_EMAIL="yes"
 REPORT_EMAIL="adminsys@<domaine-sinp>" REPORT_EMAIL="adminsys@<domaine-sinp>"
 +REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
 +APT_AUTOGEN="yes"
 </code> </code>
   * Indiquer les faux positifs, en éditant le fichier de config : ''vi /etc/rkhunter.conf'' <code bash /etc/rkhunter.conf>   * Indiquer les faux positifs, en éditant le fichier de config : ''vi /etc/rkhunter.conf'' <code bash /etc/rkhunter.conf>
 +ALLOW_SSH_ROOT_USER=prohibit-password
 +
 # Config permettant la mise à jour pour éviter l'erreur : # Config permettant la mise à jour pour éviter l'erreur :
 # Invalid WEB_CMD configuration option: Relative pathname: "/bin/false" # Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
Ligne 22: Ligne 26:
 WEB_CMD="" WEB_CMD=""
  
-Gestion des emails +(Ne pas renseigner MAIL-ON-WARNING ni MAIL_CMD ici pour éviter le flood d'emails sur chaque warning. 
-MAIL-ON-WARNING=adminsys@<domaine-sinp> +# L'envoi d'alerte mail est géré uniquement par le script cron patché.)
-MAIL_CMD=mail -s "[rkhunter] Avertissements sur ${HOST_NAME}" -r mailer@<domaine-sinp>+
  
 # Option évitant les faux positifs en se basant sur Dpkg # Option évitant les faux positifs en se basant sur Dpkg
-# ATTENTION : lancer ''rkhunter --propupd'' après avoir modifier cet option !+# ATTENTION : lancer ''rkhunter --propupd'' après avoir modifié cette option !
 PKGMGR=DPKG PKGMGR=DPKG
  
-Corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :+Pour Debian 10 uniquement, corriger l'emplacement des scripts suivants (/usr/bin/ au lieu de /bin) :
 SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/egrep
 SCRIPTWHITELIST=/usr/bin/fgrep SCRIPTWHITELIST=/usr/bin/fgrep
Ligne 42: Ligne 45:
 ALLOWHIDDENDIR="/dev/.static" ALLOWHIDDENDIR="/dev/.static"
 ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
 +
 +# Désactiver les faux positifs liés à Byobu :
 +ALLOWDEVFILE="/dev/shm/byobu-*"
 +ALLOWDEVFILE="/dev/shm/byobu-*/*"
 +ALLOWDEVFILE="/dev/shm/byobu-*/*/*"
  
 </code> </code>
Ligne 47: Ligne 55:
  
 ==== Envoi d'email ==== ==== Envoi d'email ====
-Lors des tests, pour permettre l'envoie correcte d'email +Pour recevoir les alertes de RKHunter sur la bonne adresse sans flood inutile 
-  * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@<domaine-sinp>"</code> +  * Définir l’adresse de réception dans /etc/default/rkhunter : 
-  * Ensuite éditer les script Rkhunter lancés par le Cron :  +    <code bash> 
-    ''vi /etc/cron.daily/rkhunter'' et ajouter après chaque indication de ///usr/bin/sendmail// : <code bash> -t -f $REPORT_EMAIL_FROM</code> +    REPORT_EMAIL="adminsys@<domaine-sinp>" 
-    ''vi /etc/cron.weekly/rkhunter'' et ajouter après chaque indication de ///usr/bin/sendmail// : <code bash> -t -f $REPORT_EMAIL_FROM</code> +    REPORT_EMAIL_FROM="mailer@<domaine-sinp>" 
-  * "''-t''" : indique que Sendmail doit rechercher le destinataire dans les entêtes envoyés. Il faut donc que Sendmail reçoive ''"To: $REPORT_EMAIL"''.+    </code> 
 +  * **Ne pas renseigner** (ou commenter) les options MAIL-ON-WARNING et MAIL_CMD dans /etc/rkhunter.conf
 +  Vérifier que le script cron (/etc/cron.daily/rkhunter) est patché selon la section ci-dessous (voir Patch). 
 ===== Utilisation et commandes ===== ===== Utilisation et commandes =====
   * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''   * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''
Ligne 73: Ligne 84:
 </code> </code>
   * Dans ce cas là, relever la date de la nouvelle version du binaire et se rendre sur le site suivant : https://www.debian.org/distrib/packages   * Dans ce cas là, relever la date de la nouvelle version du binaire et se rendre sur le site suivant : https://www.debian.org/distrib/packages
-    * Chercher le paquet Debian correspondant et vérifié la date de la dernière version publiée du paquet en question+    * Chercher le paquet Debian correspondant et vérifier la date de la dernière version publiée du paquet en question
       * Utiliser le moteur de recherche situé en bas de page permettant de rechercher un nom de fichier présent dans un paquet.       * Utiliser le moteur de recherche situé en bas de page permettant de rechercher un nom de fichier présent dans un paquet.
     * Sur la page du paquet :     * Sur la page du paquet :
       * sélectionner votre version de Debian.       * sélectionner votre version de Debian.
-      * Pour vérifier la date, cliquer dans le menu de droite sur le lien "**Journal des modifications Debian**". Le changelog du paquet s'affiche est contient la date de la dernière modification.+      * Pour vérifier la date, cliquer dans le menu de droite sur le lien "**Journal des modifications Debian**". Le changelog du paquet s'affiche et contient la date de la dernière modification.
   * Si les 2 dates correspondent, le message d'avertissement de Rkhunter est à ignorer.   * Si les 2 dates correspondent, le message d'avertissement de Rkhunter est à ignorer.
   * Il faut tout de même :   * Il faut tout de même :
Ligne 83: Ligne 94:
     * Lancer la commande de vérification (par acquis de conscience) : ''<nowiki> rkhunter --checkall </nowiki>''     * Lancer la commande de vérification (par acquis de conscience) : ''<nowiki> rkhunter --checkall </nowiki>''
     * Si tout semble conforme, indiquer à Rkhunter de considérer les changements comme normaux : ''<nowiki> rkhunter --propupd </nowiki>''     * Si tout semble conforme, indiquer à Rkhunter de considérer les changements comme normaux : ''<nowiki> rkhunter --propupd </nowiki>''
-  * **NOTE** : pour que Rhunter lancer automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''.+  * **NOTE** : pour que Rhunter lance automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''. 
 + 
 +==== Patch : Limiter les mails de RKHunter aux vraies alertes (rootkit ou fichier suspect) ==== 
 + 
 +Par défaut, RKHunter envoie un mail à chaque “Warning”, même mineur (ex : fichiers temporaires de byobu, dossiers cachés, etc.).   
 +Pour ne recevoir un mail **que** si un rootkit ou un fichier suspect est détecté, il faut patcher le script cron `/etc/cron.daily/rkhunter` (ou `/etc/cron.weekly/rkhunter`). 
 + 
 +<code bash /etc/cron.daily/rkhunter> 
 +# Ancienne section à commenter : 
 +# if [ -s "$OUTFILE" -a -n "$REPORT_EMAIL" ]; then 
 +#   ( 
 +#     echo "Subject: [rkhunter] $(hostname) - Daily report" 
 +#     echo "To: $REPORT_EMAIL" 
 +#     echo "" 
 +#     cat $OUTFILE 
 +#   ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM 
 +# fi 
 + 
 +# Nouvelle section à ajouter : 
 +if [ -s "$OUTFILE" ] && [ -n "$REPORT_EMAIL" ]; then 
 +    if grep -q -E "Possible rootkits:[[:space:]]+[^0]" "$OUTFILE" || \ 
 +       grep -q -E "Suspect files:[[:space:]]+[^0]" "$OUTFILE"; then 
 +        ( 
 +          echo "Subject: [rkhunter] ALERTE sur $(hostname)" 
 +          echo "To: $REPORT_EMAIL" 
 +          echo "" 
 +          cat $OUTFILE 
 +        ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM 
 +    fi 
 +fi 
 +</code> 
 + 
 +Cette modification permet de ne recevoir un mail **qu’en cas d’incident réel** (fichiers suspects ou rootkits détectés), et d’ignorer tous les faux positifs récurrents (warnings bénins). 
 + 
 +Pensez à faire une sauvegarde du script avant modification : 
 +<code bash>cp /etc/cron.daily/rkhunter /etc/cron.daily/rkhunter.bak</code>
  
 ==== Avertissement "Spam tool component" ==== ==== Avertissement "Spam tool component" ====
   * Apparemment un faux positif lié aux services tournant dans des containers Docker : https://sourceforge.net/p/rkhunter/bugs/172/   * Apparemment un faux positif lié aux services tournant dans des containers Docker : https://sourceforge.net/p/rkhunter/bugs/172/
-  * Pas de solution pour l'instant pour le mettre dans une whitelist.+    * Le problème se pose avec Gunicorn et PhpFPM. 
 +  * Pas de solution pour l'instant pour le mettre dans une whitelist, il est seulement possible de désactiver les tests correspondant : 
 +    * Éditer le fichier de conf de Rkhunter : ''vi /etc/rkhunter.conf'' 
 +    * Ajouter ''running_procs'' à la fin de la liste du paramètre ''DISABLE_TESTS''.
   * Si le problème persiste, une alternative intéressante à RKhunter est [[https://cisofy.com/lynis/|Lynis]] (à tester).   * Si le problème persiste, une alternative intéressante à RKhunter est [[https://cisofy.com/lynis/|Lynis]] (à tester).
 +
  • serveurs/installation/rkhunter.1676213227.txt.gz
  • Dernière modification : 2023/02/12 14:47
  • de jpmilcent