rkhunter ergebnisse

AK-Palme · Beitrag von **AK-Palme** » 05.10.2005 13:31:41

Hi,
ich hab grad mal den rkhunter installiert und durchlaufen lassen, und er sagt mir diese 2 probleme:

* Filesystem checks
   Checking /dev for suspicious files...                      [ Warning! (unusual files found) ]
---------------------------------------------
Unusual files:
/dev/lpt1:          ASCII text
/dev/pts1:          ASCII text
/dev/pts2:          ASCII text
/dev/pts3:          ASCII text
/dev/pts4:          ASCII text
/dev/pts5:          ASCII text
/dev/pts6:          ASCII text
/dev/pts7:          ASCII text
/dev/ttyS4:         ASCII text
/dev/ttyS5:         ASCII text
---------------------------------------------

und

Code: Alles auswählen

   Checking for allowed root login... Watch out Root login possible. Possible risk!
    info: PermitRootLogin yes
    Hint: See logfile for more information about this issue

Wie bekomm ich das erste Problem denn gelöst, und das zeite ignoriert (root-login soll erlaubt sein)..
Ich lass mir das ergebnis zumailen, und will halt nur ne mail, wenn wirklich ein problem vorliegt...

Danke,
AK-Palme

mauser · Beitrag von **mauser** » 05.10.2005 13:59:35

hi,

ich vermute das du nr.2 aus der ssh abteilung hast. du solltest den root zugang AUF JEDEN FALL und dich per user einloggen und dann per "su" root werden.
durch diese lücke und schache pwd's wurden schon ein paar server gehackt, wie du hier im forum auch nachlesen kannst. oder den root login auf keys beschränken !
der erste fehler ist seltsam.. sind das denn wirklich ascii text dateien ? was sagt ls ?
mfg
mauser

AK-Palme · Beitrag von **AK-Palme** » 05.10.2005 16:14:54

wie beschränke ich den denn root auf keys? hast du dazu ein tut?

ls sagt mir, dass das echt ascii-files sind.. ich denk mal es stört keinen,w enn ich die einfach lösche?!

mauser · Beitrag von **mauser** » 05.10.2005 16:25:34

hi,

schau dir mal dieses howto an:

http://www.debianhowto.de/de:howtos:woody:ssh

ist nicht nur auf woody beschränkt, keine sorge..
mfg
mauser

AK-Palme · Beitrag von **AK-Palme** » 07.10.2005 00:47:27

ich hab den root-login jetzt auf keys beschränkt mit 'without-password' als option, aber darüber beschwert der sich auch :/ bekommt man das irgendwie ausgeschaltet?

Joghurt · Beitrag von **Joghurt** » 07.10.2005 02:12:28

Wie sieht denn der Inhalt der /dev Dateien aus?

mauser · Beitrag von **mauser** » 07.10.2005 10:56:20

hi,

rkhunter hält dann den generellen login von root schon als bedenklich. das kannst du in der rkhunter.conf regeln, die option heisst

Code: Alles auswählen

ALLOW_SSH_ROOT_USER=1

mfg
mauser

AK-Palme · Beitrag von **AK-Palme** » 07.10.2005 11:10:36

so, jetzt wird nichts mehr an mail gesendet, das script sieht so aus:

Code: Alles auswählen

#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck>>/dev/null
/usr/local/bin/rkhunter --update>>/dev/null
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run' root

jetzt bekomme ich allerdings eine leere E-Mail

kann mir noch jemand einen tipp geben, dann belästige ich euch hoffentlich auch nicht weiter

mauser · Beitrag von **mauser** » 07.10.2005 12:51:46

hi,

naja, wenn rkhunter keine warnings erzeugt bekommst du eben ne leere email

ich hab hier mal kurz ein beispiel gemacht, wie du dann eine ausgabe erzeugen kannst, so dass du siehst das rkhunter trotzdem gelaufen ist. natürlich kannst du dir auch in dem fall dann gar keine email schicken lassen, aber dann weisst natürlich auch nicht das rkhunter gelaufen ist..

Code: Alles auswählen

#!/bin/sh
rkhunter --versioncheck >> /dev/null
rkhunter --update >> /dev/null
rkhunt=$(rkhunter --cronjob --report-warnings-only)
if [ "$rkhunt" == "" ]; then
        echo "Rkhunter ran without warnings" | mail -s "rkhunter daily" root
else
        echo $rkhunt | mail -s "rkhunter daily" root
fi

mfg
mauser

AK-Palme · Beitrag von **AK-Palme** » 07.10.2005 13:39:59

vielen dank für die hilfe, es klappt wie gewünscht