Я хочу внести в «белый список» некоторые ложные срабатывания chkrootkit, поэтому я хотел бы использовать его /etc/chkrootkit.confв качестве «белого списка».
Но это не работает:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
И я все еще получаю следующие ложноположительные результаты:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
Я знаю, что это не настоящий белый список, но ложноположительные срабатывания не должны присылать мне письма каждый день.
chkrootkit version 0.49
решение1
Вы можете поместить их в ...
/etc/chkrootkit.filter
Когда вы это вставляете...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
он будет игнорировать dhclient на eth0. Добавьте этот файл в /etc/cron.daily/chkrootkit. Найти ...
$CHKROOTKIT $RUN_DAILY_OPTS
с помощью вашего любимого редактора и измените его на ...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
и (где-то в начале) добавить ...
FILTER=/etc/chkrootkit.filter
после ...
CF=/etc/chkrootkit.conf
Прежде чем начать, сделайте...
./chkrootkit
Он должен показать ложную положительную ссылку на dhclient и после редактирования запустите его снова. Ссылка на dhclient должна исчезнуть.
Но помните: если вы добавите сюда что-то, что заразится, вас больше не будут предупреждать. Так что будьте осторожны с таким типом фильтрации. Лучше бы «они» обновили свои определения.