Chkrootkit ложно-положительный “белый список”
Я хочу "добавить некоторые в белый список" ложные положительные стороны chkrootkit, для этого я хотел бы использовать /etc/chkrootkit.conf как "белый список".
Но это не работает: RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'
И я все еще получаю следующие ложные положительные стороны:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
Я знаю не, реальный белый список, но ложные положительные стороны не должен посылать мне электронные письма каждый день. chkrootkit version 0.49
1 ответ
Вы могли поместить тех, которые в a...
/etc/chkrootkit.filter
, Когда Вы вставляете это...
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
это проигнорирует dhclient на eth0. Добавьте этот файл к /etc/cron.daily/chkrootkit. Найти...
$CHKROOTKIT $RUN_DAILY_OPTS
с Вашим любимым редактором и изменением это в...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
и (где-нибудь вначале) добавляют...
FILTER=/etc/chkrootkit.filter
после...
CF=/etc/chkrootkit.conf
Перед Вашим запуском делают a...
./chkrootkit
Это должно показать ложную положительную ссылку на dhclient и после редактирования этого в выполненном это снова. Ссылка на dhclient должна закончиться.
Мышление, хотя: что-либо Вы добавляете к этому, что становится зараженным, о Вас больше не будут предупреждать. Так остерегайтесь с этим видом фильтрации. Лучше должен был бы сделать, чтобы 'они' обновили свои определения.