Volver al índice


rkhunter

Buscador de rootkits instalados en el sistema

# rkhunter --update (Recargar la base de datos)

# rkhunter -c (iniciar la aplicación)

# rkhunter -c -sk (iniciar la aplicación sin pedir confirmación para proseguir)

# rkhunter -c -sk --propupd (Lanzar con la opción "propupd" si se ha modificado la función Hash o para reconstruir la base de datos y evitar "Warnings" tipo: Warning: The file properties have changed)

# rkhunter --list (Ver las opciones)

# rkhunter --enable group_accounts,system_commands (Solo chequear estas dos opciones)

# rkhunter --disable shared_libs (Descartar esta opción del chequeo)

# cat /var/log/rkhunter.log | grep Warning (Visualizar los "Warnings")

1.-

Para solucionar el error: Warning: Hidden directory found: /etc/.java

# nano /etc/rkhunter.conf

Y descomentar la linea:

ALLOWHIDDENDIR="/etc/.java"

Nota.- para errores similares con archivos ocultos [/dev/.udev, /dev/.initramfs... ], descomentar la linea correspondiente.

2.-

Para errores de versión de ciertas aplicaciones [Warning: Application 'gpg', version ....]

# nano /etc/rkhunter.conf

Añadir apps a la linea:

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps"

3.-

Para suprimir falsa advertencias sobre posibles interfaces promiscuos [P.ejemplo de un servidor virtual], añadir "promisc" a la opción DISABLE_TESTS:

DISABLE_TESTS="suspscan hidden_procs deleted_files packet_cap_apps apps promisc"

4.-

Para que los valores se obtengan del gestor de paquetes correspondiente:

# nano /etc/rkhunter.conf

Y descomentar y modificar la linea PKGMGR:

PKGMGR=DPKG

Nota.- Otras opciones para distros no debian o para desactivar la opción: RPM, BSD,SOLARIS y NONE

5.-

Para evitar la nota: Warning: Suspicious file types found in /dev... añadir a /etc/rkhunter.conf la linea:

ALLOWDEVFILE=/dev/.../*

Nota.- Substituir los puntos supensivos por el subdirectorio oportuno.


Volver al índice