누군가 내 시스템의 모든 것을 확인하도록 rkhunter를 구성/강제하는 방법을 말해 줄 수 있습니까? 실행해도 검사를 건너뜁니다.rkhunter --checkall
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for hidden processes [ Skipped ]
Applications checks...
All checks skipped
답변1
어떤 이유로든 --checkall 수정자를 사용할 때 내 응용 프로그램 검색이 무시되었습니다. /etc/rkhunter.conf 파일에 "apps" 옵션이 기본적으로 포함되어 있었기 때문입니다 DISABLE_TESTS. 이를 제거하면 내 응용 프로그램을 검사할 수 있게 되었습니다.
#
# These two options determine which tests are to be performed. The ENABLE_TESTS
# option can use the word 'ALL' to refer to all of the available tests. The
# DISABLE_TESTS option can use the word 'NONE' to mean that no tests are
# disabled. The list of disabled tests is applied to the list of enabled tests.
#
# Both options are space-separated lists of test names, and both options may
# be specified more than once. The currently available test names can be seen
# by using the command 'rkhunter --list tests'.
#
# The supplied configuration file has some tests already disabled, and these
# are tests that will be used only occasionally, can be considered 'advanced'
# or that are prone to produce more than the average number of false-positives.
#
# Please read the README file for more details about enabling and disabling
# tests, the test names, and how rkhunter behaves when these options are used.
#
# The default values are to enable all tests and to disable none. However, if
# either of the options below are specified, then they will override the
# program defaults.
#
ENABLE_TESTS=ALL
#DISABLE_TESTS=suspscan hidden_ports hidden_procs deleted_files packet_cap_apps apps
DISABLE_TESTS=suspscan hidden_ports deleted_files packet_cap_apps ipc_shared_mem
동료 rkhunter "noobies"를 위해
https://sourceforge.net/ <-- rkhunter에 대한 기본 지원/정보가 있습니다.
또한 다음을 권장합니다.
1.) (#) /etc/rkhunter.conf에서 DISABLE_TESTS를 주석 처리합니다.
2.) virtualbox를 사용하여 테스트 서버를 설정하고(동등한 환경 복제) 체크섬을 실행하여 거짓 긍정 확인
3.) /etc/rkhunter.conf에서 다양한 형태의 "화이트리스트"를 사용하여 모든 경고 지우기
4.) 숨겨진 포트와 숨겨진 디렉터리를 검색할 수 있도록 "unhide"라는 Linux 앱 설치