我想將 chkrootkit 的一些誤報“列入白名單”,因此我想將其用作/etc/chkrootkit.conf“白名單”。
但這不起作用:
RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
我仍然收到以下誤報:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
我知道它不是真正的白名單,但誤報不應該每天給我發送電子郵件。
chkrootkit version 0.49
答案1
你可以把它們放在...
/etc/chkrootkit.filter
當你把這個放進去...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
它將忽略 eth0 上的 dhclient。將此文件加入/etc/cron.daily/chkrootkit.尋找 ...
$CHKROOTKIT $RUN_DAILY_OPTS
用你最喜歡的編輯器並將其更改為...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
並且(在開頭的某個地方)添加...
FILTER=/etc/chkrootkit.filter
後 ...
CF=/etc/chkrootkit.conf
在開始之前做一個...
./chkrootkit
它應該顯示對 dhclient 的誤報引用,並在編輯後再次運行它。對 dhclient 的引用應該消失了。
但請注意:您添加到其中的任何內容確實會被感染,您將不再收到警告。所以要小心這種過濾。更好的辦法是讓「他們」更新他們的定義。