Seite 1 von 1
(gelöst) [rkhunter] SSH: PermitRootLogin - false positiv
Verfasst: 19.01.2019 08:26:39
von irgendwas
Hallo zusammen,
ich habe ein System neu aufgesetzt und erstmal rkhunter installiert. Leider erhalte ich folgende Meldung bei einem Scan:
Code: Alles auswählen
root@*****:~# rkhunter --version
Rootkit Hunter 1.4.6
root@*****:~# rkhunter --skip-keypress --check --pkgmgr dpkg --report-warnings-only
Warning: The file properties have changed:
File: /usr/local/etc/rkhunter.conf
Current hash: 6b044bb6d001d9fae0770c149d6d192727960c3294f837331cfcb9d3c5152f8c
Stored hash : 41ffa9d8b4c15f1bb2f0f13f67e3133b6f3e9daa4ca8e9ae4641bf1254e6d853
Current size: 48775 Stored size: 48689
Current file modification time: 1547880917 (19-Jan-2019 07:55:17)
Stored file modification time : 1523334544 (10-Apr-2018 06:29:04)
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': no
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Ich bin etwas verwirrt, denn auf dem anderem System (Debian 9) wird die SSH-Option korrekt erkannt und keine Warnung ausgegeben. Egal welche Option ich in rkhunter.conf setze, es wird immer eine Warnung ausgegeben (zusammen mit dem Wert, den ich angegeben habe - unset/no/yes).
Re: [rkhunter] SSH: PermitRootLogin - false positiv
Verfasst: 19.01.2019 10:12:26
von cronoik
Ist das Buster? Aufgrund des anderen Warnings lasse erst einmal:
laufen. Des Weiteren poste mal bitte den Output von:
Re: [rkhunter] SSH: PermitRootLogin - false positiv
Verfasst: 19.01.2019 18:55:35
von irgendwas
Danke für deine schnelle Antwort.
Die config-Datei liegt bei mir allerdings nicht in /etc/, sondern in /usr/local/etc/rkhunter.conf
und Debian 9.6 Stretch
Code: Alles auswählen
root@*****:~# rkhunter --update --propupd
[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 181 files, found 151
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
Checking file i18n/ja [ No update ]
root@*****:~# cat -v /usr/local/etc/rkhunter.conf | grep ALLOW_SSH_ROOT_USER
ALLOW_SSH_ROOT_USER=no
root@*****:~# cat -v /etc/ssh/sshd_config | grep PermitRootLogin
PermitRootLogin no^M
Re: [rkhunter] SSH: PermitRootLogin - false positiv
Verfasst: 19.01.2019 19:39:00
von cronoik
nobody2311 hat geschrieben: 
19.01.2019 18:55:35
...und Debian 9.6 Stretch
In Stretch ist allerdings nur rkhunter 1.4.2. Deshalb die Frage nach Buster, aber ich vermute dies ist nicht das Problem. In der /etc/ssh/sshd_config hast du ein ^M (circumflex M) stehen und dies fuehrt wahrscheinlich zu der rkhunter Warnung. Entferne das mal und schaue dann was rkhunter sagt (genaueres und Beispiele zum Ersetzen [1]).
[1]
https://stackoverflow.com/questions/584 ... ean-in-vim
Re: [rkhunter] SSH: PermitRootLogin - false positiv
Verfasst: 19.01.2019 20:32:59
von irgendwas
Das wars - funktioniert
Ich erinnere mich grad dunkel daran, dass ich sowas, in einem anderen Zusammenhang, schon mal hatte.
Danke für deine Hilfe
