Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveurs:installation:rkhunter [2025/07/10 11:03] – aungaro
+++ serveurs:installation:rkhunter [2025/07/10 15:58] (Version actuelle) – aungaro
@@ Ligne 26: / Ligne 26: @@
 WEB_CMD=""
-# Gestion des emails
+# (Ne pas renseigner MAIL-ON-WARNING ni MAIL_CMD ici pour éviter le flood d'emails sur chaque warning.
-MAIL-ON-WARNING=adminsys@<domaine-sinp>
+# L'envoi d'alerte mail est géré uniquement par le script cron patché.)
-MAIL_CMD=mail -s "[rkhunter] Avertissements sur ${HOST_NAME}" -r mailer@<domaine-sinp>
 # Option évitant les faux positifs en se basant sur Dpkg
-# ATTENTION : lancer ''rkhunter --propupd'' après avoir modifier cet option !
+# ATTENTION : lancer ''rkhunter --propupd'' après avoir modifié cette option !
 PKGMGR=DPKG
-# Pour Debian 10 uniquement, corriger l'emplacement des scripts suivant (/usr/bin/ au lieu de /bin) :
+# Pour Debian 10 uniquement, corriger l'emplacement des scripts suivants (/usr/bin/ au lieu de /bin) :
 SCRIPTWHITELIST=/usr/bin/egrep
 SCRIPTWHITELIST=/usr/bin/fgrep
@@ Ligne 56: / Ligne 55: @@
 ==== Envoi d'email ====
-Lors des tests, pour permettre l'envoie correcte d'email :
+Pour recevoir les alertes de RKHunter sur la bonne adresse sans flood inutile :
-  * Ajouter au fichier de conf ///etc/default/rkhunter//, une nouvelle ligne pour définir l'entête "FROM" d’envoi avec //sendmail// : <code bash>REPORT_EMAIL_FROM="mailer@<domaine-sinp>"</code>
+  * Définir l’adresse de réception dans /etc/default/rkhunter :
-  * Ensuite éditer les script Rkhunter lancés par le Cron (voir ci-dessous) en ajoutant après chaque indication de ///usr/bin/sendmail// les options : <code bash> -t -f $REPORT_EMAIL_FROM</code>
+    <code bash>
-    * "''-t''" : indique que Sendmail doit rechercher le destinataire dans les entêtes envoyés. Il faut donc que Sendmail reçoive ''"To: $REPORT_EMAIL"''.
+    REPORT_EMAIL="adminsys@<domaine-sinp>"
-  * Les scripts à modifier :
+    REPORT_EMAIL_FROM="mailer@<domaine-sinp>"
-    * ''vi /etc/cron.daily/rkhunter''
+    </code>
-    * ''vi /etc/cron.weekly/rkhunter''
+  * **Ne pas renseigner** (ou commenter) les options MAIL-ON-WARNING et MAIL_CMD dans /etc/rkhunter.conf.
-  * Si vraiment nécessaire, installer aussi le paquet "''mailutils''" avec : ''apt install mailutils''
+  * Vérifier que le script cron (/etc/cron.daily/rkhunter) est patché selon la section ci-dessous (voir Patch).
 ===== Utilisation et commandes =====
   * Vérifier dernière version : ''<nowiki> rkhunter --versioncheck </nowiki>''
@@ Ligne 84: / Ligne 84: @@
 </code>
   * Dans ce cas là, relever la date de la nouvelle version du binaire et se rendre sur le site suivant : https://www.debian.org/distrib/packages
-    * Chercher le paquet Debian correspondant et vérifié la date de la dernière version publiée du paquet en question
+    * Chercher le paquet Debian correspondant et vérifier la date de la dernière version publiée du paquet en question
       * Utiliser le moteur de recherche situé en bas de page permettant de rechercher un nom de fichier présent dans un paquet.
     * Sur la page du paquet :
       * sélectionner votre version de Debian.
-      * Pour vérifier la date, cliquer dans le menu de droite sur le lien "**Journal des modifications Debian**". Le changelog du paquet s'affiche est contient la date de la dernière modification.
+      * Pour vérifier la date, cliquer dans le menu de droite sur le lien "**Journal des modifications Debian**". Le changelog du paquet s'affiche et contient la date de la dernière modification.
   * Si les 2 dates correspondent, le message d'avertissement de Rkhunter est à ignorer.
   * Il faut tout de même :
@@ Ligne 95: / Ligne 95: @@
     * Si tout semble conforme, indiquer à Rkhunter de considérer les changements comme normaux : ''<nowiki> rkhunter --propupd </nowiki>''
   * **NOTE** : pour que Rhunter lance automatiquement ''<nowiki> rkhunter --propupd </nowiki>'' après une mise à jour des paquets, mettre ''APT_AUTOGEN="yes"'' dans le fichier ''/etc/default/rkhunter''.
+==== Patch : Limiter les mails de RKHunter aux vraies alertes (rootkit ou fichier suspect) ====
+Par défaut, RKHunter envoie un mail à chaque “Warning”, même mineur (ex : fichiers temporaires de byobu, dossiers cachés, etc.).
+Pour ne recevoir un mail **que** si un rootkit ou un fichier suspect est détecté, il faut patcher le script cron `/etc/cron.daily/rkhunter` (ou `/etc/cron.weekly/rkhunter`).
+<code bash /etc/cron.daily/rkhunter>
+# Ancienne section à commenter :
+# if [ -s "$OUTFILE" -a -n "$REPORT_EMAIL" ]; then
+#   (
+#     echo "Subject: [rkhunter] $(hostname) - Daily report"
+#     echo "To: $REPORT_EMAIL"
+#     echo ""
+#     cat $OUTFILE
+#   ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM
+# fi
+# Nouvelle section à ajouter :
+if [ -s "$OUTFILE" ] && [ -n "$REPORT_EMAIL" ]; then
+    if grep -q -E "Possible rootkits:[[:space:]]+[^0]" "$OUTFILE" || \
+       grep -q -E "Suspect files:[[:space:]]+[^0]" "$OUTFILE"; then
+        (
+          echo "Subject: [rkhunter] ALERTE sur $(hostname)"
+          echo "To: $REPORT_EMAIL"
+          echo ""
+          cat $OUTFILE
+        ) | /usr/sbin/sendmail -t -f $REPORT_EMAIL_FROM
+    fi
+fi
+</code>
+Cette modification permet de ne recevoir un mail **qu’en cas d’incident réel** (fichiers suspects ou rootkits détectés), et d’ignorer tous les faux positifs récurrents (warnings bénins).
+Pensez à faire une sauvegarde du script avant modification :
+<code bash>cp /etc/cron.daily/rkhunter /etc/cron.daily/rkhunter.bak</code>
 ==== Avertissement "Spam tool component" ====