Rkhunter sert à détecter les rootkits, portes dérobées et exploits. Il se base en partie sur les Inodes des exécutables. Après avoir fait des aptitude safe-upgrade. vos exécutables changent… Il faut donc en avertir Rkhunter…
Après mon premier upgrade j’ai reçu le mail suivant :
Warning: The file properties have changed: File: /bin/bash Current inode: 21372580 Stored inode: 44044163 Warning: The file properties have changed: File: /usr/sbin/cron Current inode: 25046249 Stored inode: 44305975 [...]
Il faut donc mettre la base Rkhunter à jour avec les nouveaux inodes.
Méthode manuel :
Lancer les commandes suivantes :
$ rkhunter --update $ rkhunter --propupd
Méthode automatique
Si comme moi, vous êtes un chouilla fainéant créer le script /etc/apt/apt.conf.d/98-rkhunter avec le contenu suivant :
$ cat /etc/apt/apt.conf.d/98-rkhunter
DPkg::Post-Invoke {
"rkhunter --update;"
"rkhunter --propupd";
};
Ainsi la base Rkhunter sera remis à jour à chaque fois que vous utiliserez apt/aptitude.
Astuce trouvé sur le forum debian-fr.org
