chkrootkit の誤検知の一部を「ホワイトリスト」に登録したいので、 を/etc/chkrootkit.conf「ホワイトリスト」として使用したいと思います。
しかし、これは機能しません:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
そして、次のような誤検知がまだ発生します:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
本当のホワイトリストではないことはわかっていますが、誤検知により毎日メールが送られてくるべきではありません。
chkrootkit version 0.49
答え1
それらを...に入れることもできます。
/etc/chkrootkit.filter
これを入れると・・・
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
eth0 上の dhclient は無視されます。このファイルを に追加します/etc/cron.daily/chkrootkit。検索...
$CHKROOTKIT $RUN_DAILY_OPTS
お気に入りのエディターを使用して、次のように変更します...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
そして(最初のどこかに)...を追加します。
FILTER=/etc/chkrootkit.filter
後 ...
CF=/etc/chkrootkit.conf
始める前に...
./chkrootkit
dhclient への誤検知参照が表示されるはずです。これを編集した後、再度実行してください。dhclient への参照は消えているはずです。
ただし、注意: これに追加したものが感染した場合は、警告が表示されなくなります。したがって、この種のフィルタリングには注意してください。「それら」に定義を更新してもらう方がよいでしょう。