Rkhunter Warning in Debian Lenny

La mia macchinetta che vive ormai on-line da quasi 3 anni è stata dotata dal principio di alcune applicazioni per la sicurezza.

Da tempo soffriva di alcuni problemi legati a falsi positivi rilevati da rkhunter, nella versione di Debian Lenny.

Vediamo ora un report ricco di materiale su cui lavorare .

Warning: Found enabled inetd service: pop3
 Warning: Users have been added to the passwd file:
 sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
 Warning: The SSH and rkhunter configuration options should be the same:
 SSH configuration option 'PermitRootLogin': yes
 Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
 Warning: Application 'gpg', version '1.4.9', is out of date, and possibly a security risk.
 Warning: Application 'openssl', version '0.9.8g', is out of date, and possibly a security risk.
 Warning: Application 'php', version '5.2.6', is out of date, and possibly a security risk.
 Warning: Application 'proftpd', version '1.3.1', is out of date, and possibly a security risk.
 Warning: Application 'sshd', version '5.1p1', is out of date, and possibly a security risk.

 One or more warnings have been found while checking the system.
 Please check the log file (/var/log/rkhunter.log)

Che ve ne pare ….. ? non cachiamoci sotto prima di aver esaminato la cosa.

  • Cominciamo con il primo allarme : Warning: Found enabled inetd service: pop3

Questo è un servizio abilitato nel server di posta, per cui necessario, occorre istruire rkhunter.

Le direttive dovrebbero essere dentro al file /etc/.inetd.conf , quindi occorre mettere in whitelist il servizio, questo è possibile aggiungendo nel file /etc/rkhunter.conf

INETD_ALLOWED_SVC=pop3
  • proseguiamo con : Warning: Users have been added to the passwd file: sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin

Questo allarme ci segnala l’ingreso di un nuovo utente, che io stesso ho creato ma poi ho tralasciato di aggiornare rkhunter.

A tal proposito se fate modifiche al sistema, come nell’esempio classico un’aggiornamento con apt o aptitude, ebbene il comando da eseguire è :

#rkhunter --propupd
more info in : $man rkhunter
  • Allarme root in SSH: Warning: The SSH and rkhunter configuration options should be the same: SSH configuration option ‘PermitRootLogin’: yes

In questo caso ho dimenticato di modificare il file di configurazione /etc/ssh/sshd_config quando ho installato e deciso di usare SSH.

Qui occorre semplicemente impostare il giusto parametro modificando la riga :

PermitRootLogin no

  • warning vari : Warning: Application ‘gpg’, version ‘1.4.9’, is out of date, and possibly a security risk.

Questi sono falsi positivi che rkhunter ci segnala, infatti secondo il suo db queste applicazoni essendo non recenti sono da considerare pericolose.

Aggiornarle con un pinning estremo sconvolgerebbe il sistema, perciò preferisco metterle in whitelist :

APP_WHITELIST=”gpg:1.4.9 openssl:0.9.8g php:5.2.6 proftpd:1.3.1 sshd:5.1p1″

More info : LINK 1LINK 2

Nel caso si pensi ci sia qualcosa di malevolo nei messaggi che riceviamo, è possibile incrociare i controlli con l’aiuto di chkrootkit.

Se sistemate gli errori dopo averli analizzati e valutati falsi positivi risparmierete una mail al giorno

Ricordate che il PC sicuro è il PC spento.

2 risposte a “Rkhunter Warning in Debian Lenny”

  1. “Ricordate che il PC sicuro è il PC spento.” Questo è terrorismo puro! ma non posso negare la saggezza di tale affermazione.
    Che forse sia il caso che pure io mi dia una mossa sul lato sicurezza?
    Ciao

  2. Articolo scritto dimmerda , da una persona spocchiosa e maleducata che ha imparato a usare linux per caso , ha rotto i coglioni al mondo quando era un niubbo e , ora fà il professore …
    Sei ignorante come un badile col manico rotto …
    Ps. lo so che non lo pubblichi….

Rispondi