Correction des Warning de rkhunter (Plesk)

Hop,

rkhunter (pour Rootkit Hunter) est un programme qui permet de détecter les rootkits, portes dérobées et exploits. Or, vous pouvez avoir quelques faux positifs, rien de bien méchant.

Installation de rkhunter

Une petite installation si nécessaire
yum install rkhunter
Première actions, faire une nouvelle database de votre filesystem afin de pouvoir comparer les scans via la commande après avoir un petit update des sources.
rkhunter --update
rkhunter --propupd

Lancement de rkhunter
rkhunter -c --rwo --sk

Traitement du résultat

Pour les warnings de type ci-dessous, exécuter la commande conseillée et tout rentre en ordre :

Warning: Package manager verification has failed:
File: /bin/bash
Try running the command 'prelink /bin/bash' to resolve dependency errors.
The file hash value has changed 
The file size has changed
Pour les warnings suivants, ceci est propre à l’utilisation de Plesk, ce sont des faux positifs du test de rkhunter, il faut ajouter les services XINETD cités au fichier de config rkhunter.conf.
Warning: Found enabled xinetd service: /etc/xinetd.d/ftp_psa
Warning: Found enabled xinetd service: /etc/xinetd.d/poppassd_psa
Warning: Found enabled xinetd service: /etc/xinetd.d/smtp_psa
Warning: Found enabled xinetd service: /etc/xinetd.d/smtps_psa
Warning: Found enabled xinetd service: /etc/xinetd.d/submission_psa

La manip consiste à mettre à jour la whitelist du fichier de config de rkhunter car ces dossiers appartenant à Plesk, il n’y a pas de risques de ce côté là (prendre /etc/rkhunter.conf)
XINETD_ALLOWED_SVC=/etc/xinetd.d/ftp_psa
XINETD_ALLOWED_SVC=/etc/xinetd.d/poppassd_psa
XINETD_ALLOWED_SVC=/etc/xinetd.d/smtp_psa
XINETD_ALLOWED_SVC=/etc/xinetd.d/smtps_psa
XINETD_ALLOWED_SVC=/etc/xinetd.d/submission_psa

Pour les warning suivants, le problème vient du fait que rkhunter essaie de faire un check d’un module du noyau qui n’existe pas d’où le warning. Pour éviter d’avoir cet averstissement de façon récurrente, il est conseillé de désactiver le test en ajouter os_specific aux tests à ne pas réaliser.


Warning: The modules file '/proc/modules' is missing.
Warning: The kernel modules directory '/lib/modules' is missing or empty.

DISABLE_TESTS="suspscan hidden_ports hidden_procs deleted_files packet_cap_apps os_specific"

Enfin, pour le dernier, il s’agit de mettre yes en valeur à ‘ALLOW_SSH_ROOT_USER’ pour que les deux fichiers de configuration soit identiques !


Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': yes
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

ALLOW_SSH_ROOT_USER=yes

Attention, je déconseille vivement d’autoriser la connexion en root, pour des raisons évidentes de sécurité !

Cas de Plesk
Dans le cas de Plesk, il faut appliquer ces modifications dans le fichier suivant : /usr/local/psa/etc/modules/watchdog/rkhunter.conf
Et exécuter les commandes pour le programme suivant :
/usr/local/psa/admin/sbin/modules/watchdog/rkhunter --update
Sinon vous aurez toujours les mails de warning !

Quelques liens complémentairesDocumentation succinte Ubuntu

Et le tour est joué !

Enjoy !

4 réflexions au sujet de « Correction des Warning de rkhunter (Plesk) »

  1. none

    « Enfin, pour le dernier, il s’agit de mettre yes en valeur à ‘ALLOW_SSH_ROOT_USER’ pour que les deux fichiers de configuration soit identiques ! »
    If you are using rkhunter on a server, then you should not really allow root logins, unless it is keybased only. My two cents worth.

    « DISABLE_TESTS= »apps suspscan hidden_ports hidden_procs deleted_files packet_cap_apps os_specific » »
    If you are disabling these tests just to hide rkhunte rmessages, then there is nothing gained by running rkhunter. Simply uninstall it! Otherwise, add the /lib/modules to the whitelist in /etc/rkhunter.conf.

Laisser un commentaire