Rkhunter sert à détecter les rootkits, portes dérobées et exploits. Il se base en partie sur les Inodes des exécutables. Après avoir fait des aptitude safe-upgrade. vos exécutables changent… Il faut donc en avertir Rkhunter…
Après mon premier upgrade j’ai reçu le mail suivant :
Warning: The file properties have changed: File: /bin/bash Current inode: 21372580 Stored inode: 44044163 Warning: The file properties have changed: File: /usr/sbin/cron Current inode: 25046249 Stored inode: 44305975 [...]
Il faut donc mettre la base Rkhunter à jour avec les nouveaux inodes.
Méthode manuel :
Lancer les commandes suivantes :
$ rkhunter --update $ rkhunter --propupd
Méthode automatique
Si comme moi, vous êtes un chouilla fainéant créer le script /etc/apt/apt.conf.d/98-rkhunter avec le contenu suivant :
$ cat /etc/apt/apt.conf.d/98-rkhunter
DPkg::Post-Invoke {
"rkhunter --update;"
"rkhunter --propupd";
};
Ainsi la base Rkhunter sera remis à jour à chaque fois que vous utiliserez apt/aptitude.
Astuce trouvé sur le forum debian-fr.org
Bonjour,
j’ai écrit un article sur la configuration de RkHunter pour Debian qui ajuste la plupart des options de RkHunter au système en place de façon à réduire les alertes:
https://howto.biapy.com/fr/debian-gnu-linux/systeme/securite/installer-rootkit-hunter-sur-debian
l’appel à rkhunter –update ne concerne pas les changements dans les logiciels installés, mais la mise à jour des définitions de root kits. Il est lancé régulièrement par un script cron.
Je ne sais pas si vous l’avez noté, mais il existe une option de rkhunter pour utiliser les sommes de contrôle des fichiers fournies par les paquets Debian pour s’assurer que les logiciels ne sont pas corrompus:
HASH_FUNC=md5sum
PKGMGR=dpkg
J’espère vous avoir aidé.
Sincèrement,
Pierre-Yves Landuré
Ha oui super, effectivement ça semble beaucoup plus propre que ma solution !
Merci bien !