rkhunter Meldung nach Upgrade squeeze->wheezy

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
xcomm
Beiträge: 804
Registriert: 21.09.2003 05:12:01
Wohnort: Europe
Kontaktdaten:

rkhunter Meldung nach Upgrade squeeze->wheezy

Beitrag von xcomm » 27.06.2013 07:11:53

Hi Gemeinde,

habe in einer VM nach einem dist-upgrade nun folgende rkhunter-Meldungen.

Code: Alles auswählen

Warning: Suspicious file types found in /dev:
         /dev/.udev/queue.bin: data
         /dev/.udev/data/b11:0: ASCII text
         /dev/.udev/data/b8:17: ASCII text
         /dev/.udev/data/b8:16: ASCII text
         /dev/.udev/data/b8:5: ASCII text
         /dev/.udev/data/b8:2: ASCII text
         /dev/.udev/data/b8:1: ASCII text
         /dev/.udev/data/b7:0: ASCII text
         /dev/.udev/data/b8:0: ASCII text
         /dev/.udev/data/b7:5: ASCII text
         /dev/.udev/data/b7:6: ASCII text
         /dev/.udev/data/b7:4: ASCII text
         /dev/.udev/data/b7:7: ASCII text
         /dev/.udev/data/b7:1: ASCII text
         /dev/.udev/data/b7:3: ASCII text
         /dev/.udev/data/b7:2: ASCII text
         /dev/.udev/data/b2:0: ASCII text
         /dev/.udev/data/c116:2: ASCII text
         /dev/.udev/data/c13:32: ASCII text
         /dev/.udev/data/c13:64: ASCII text
         /dev/.udev/data/c13:67: ASCII text
         /dev/.udev/data/c13:33: ASCII text
         /dev/.udev/data/c13:68: ASCII text
         /dev/.udev/data/c13:65: ASCII text
         /dev/.udev/data/+serio:serio0: ASCII text
         /dev/.udev/data/n2: ASCII text
         /dev/.udev/data/+pci:0000:00:10.0: ASCII text
         /dev/.udev/data/+pci:0000:00:07.1: ASCII text
         /dev/.udev/data/c13:66: ASCII text
         /dev/.udev/rules.d/61-dev-root-link.rules: ASCII text
Warning: Hidden file found: /dev/shm/.run-transition: ASCII text
Kennt das jemand und wisst Ihr was über die Einträge? Einfach whitelisten?

Danke, xcomm
Nach oben
Benutzeravatar
4A4B
Beiträge: 981
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: rkhunter Meldung nach Upgrade squeeze->wheezy

Beitrag von 4A4B » 27.06.2013 07:30:51

/dev/.udev kannst du auf jeden Fall whitelisten:

Code: Alles auswählen

zless /usr/share/doc/rkhunter/README.Debian.gz
Below is a list of common hidden files and directories known to set off
false alarms in rkhunter:

* /dev/.static/, /dev/.udev & /dev/.udevdb/ - used by udev
* /etc/.java/ - it is common for java installations to use this
hidden directory
* /dev/.initramfs - created by initramfs-tools generated ramfs
filesystems during boot

In most cases, you can just ignore warnings about these files and directories.
Use ALLOWHIDDENFILE and ALLOWHIDDENDIR options in /etc/rkhunter.conf to
avoid them.
Nach oben
Benutzeravatar
xcomm
Beiträge: 804
Registriert: 21.09.2003 05:12:01
Wohnort: Europe
Kontaktdaten:

Re: rkhunter Meldung nach Upgrade squeeze->wheezy

Beitrag von xcomm » 29.06.2013 10:01:43

Hallo 4A4B,

wie müsste ich dass auskommentieren?

Das habe ich schon.

Code: Alles auswählen

ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.udev/queue
ALLOWHIDDENDIR=/dev/.udev/data
Bekomme aber immer noch:

Code: Alles auswählen

Warning: Suspicious file types found in /dev:
         /dev/.udev/queue.bin: data
         /dev/.udev/data/b11:0: ASCII text
         /dev/.udev/data/b8:17: ASCII text
         /dev/.udev/data/b8:16: ASCII text
         /dev/.udev/data/b8:5: ASCII text
         /dev/.udev/data/b8:2: ASCII text
         /dev/.udev/data/b8:1: ASCII text
         /dev/.udev/data/b7:0: ASCII text
         /dev/.udev/data/b8:0: ASCII text
         /dev/.udev/data/b7:5: ASCII text
         /dev/.udev/data/b7:6: ASCII text
         /dev/.udev/data/b7:4: ASCII text
         /dev/.udev/data/b7:7: ASCII text
         /dev/.udev/data/b7:1: ASCII text
         /dev/.udev/data/b7:3: ASCII text
         /dev/.udev/data/b7:2: ASCII text
         /dev/.udev/data/b2:0: ASCII text
         /dev/.udev/data/c116:2: ASCII text
         /dev/.udev/data/c13:32: ASCII text
         /dev/.udev/data/c13:64: ASCII text
         /dev/.udev/data/c13:67: ASCII text
         /dev/.udev/data/c13:33: ASCII text
         /dev/.udev/data/c13:68: ASCII text
         /dev/.udev/data/c13:65: ASCII text
         /dev/.udev/data/+serio:serio0: ASCII text
         /dev/.udev/data/n2: ASCII text
         /dev/.udev/data/+pci:0000:00:10.0: ASCII text
         /dev/.udev/data/+pci:0000:00:07.1: ASCII text
         /dev/.udev/data/c13:66: ASCII text
         /dev/.udev/rules.d/61-dev-root-link.rules: ASCII text
Warning: Hidden file found: /dev/shm/.run-transition: ASCII text
Muß ich jede Datei noch einzeln whitelisten?

Danke, xcomm
Nach oben
Benutzeravatar
4A4B
Beiträge: 981
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: rkhunter Meldung nach Upgrade squeeze->wheezy

Beitrag von 4A4B » 29.06.2013 10:35:21

Ich weiß nicht, inwieweit das notwendig ist, aber in den Beispielen der rkhunter.conf sind die Pfade gequotet:

Code: Alles auswählen

ALLOWHIDDENDIR="/dev/.udev"
Außerdem soll man nach Änderungen noch ein 'rkhunter -C' ausführen:
# You can either modify this file directly, or you can create a local
# configuration file. The local file must be named 'rkhunter.conf.local',
# and must reside in the same directory as this file. Please modify one
# or both files to your own requirements. It is suggested that the
# command 'rkhunter -C' is run after any changes have been made.

Edit

Die Fehlermeldung "Suspicious file types found" bezieht sich wohl gar nicht auf das "hidden dir" /dev/.udev, sondern auf die darin enthaltenen Dateien.

Da ist wohl eher ALLOWDEVFILE angebracht, wie z.B. hier:

http://permalink.gmane.org/gmane.comp.s ... .user/2745

Allerdings stellt sich dann wieder die Frage, inwieweit diese Dateien überhaupt unbedenklich sind


Edit 2

Ähnliche Files wurden hier gefunden:

https://groups.google.com/forum/#!topic ... bnEJgWGSN8

http://www.howtoforge.com/forums/showthread.php?t=62016
Nach oben
Antworten

Zurück zu „Probleme bei der Installation von Debian“