Rkhunter nem müködik

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

cslaci56 képe
Beküldte cslaci56 -

Fórum: 

Üdv. Mindenkinek!

A problémám az rkhunterrel adódott.Valamiért nem müködik.Amikor kiadom az "rkhunter --check" parancsot a következő hibaüzenettel megáll:

Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/egrep                                                                  Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/fgrep

Akkor is ezt irja ki ha mondjuk frissiteni akarom.Nem tudom hol lehet a hiba? Mit nem csinálok jól?

Rkhunter nem müködik

Beküldte lala -

Értékelés: 

0
Még nincs értékelve

Üdv. !
Nálam az --update ezt dobja.:
# rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
De a --check lefut.

Addig is amíg nem sikerül rájönni a nem-működés okára, alternatív ellenőrzésnek ajánlom a
chkrootkit-et.
sudo apt install chkrootkit
sudo chkrootkit

Rkhunter nem müködik

Beküldte lala -

Értékelés: 

0
Még nincs értékelve

#1 Rákeresve a hibaüzenetre, ezt találtam.: https://forums.linuxmint.com/viewtopic.php?p=1842343

Rkhunter nem müködik

Beküldte Káldeus -

Értékelés: 

0
Még nincs értékelve

De ha valamilyen oknál fogva úgy döntötök, hogy a konfigurációs fájlt piszkáljátok, akkor soha ne az /etc/rkhunter.conf -ot módosítsátok, csakis az /etc/rkhunter.conf.local -t (ha nincs ilyen, létre kell hozni), különben hibát fog jelezni.

kimarite képe

Rkhunter nem müködik

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#1 Más elérési úton van a bináris, mint, ami az rkhunterben be van állítva.
Nálam is:

sudo rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"

A which mutatja a bináris elérési útját:

which false
/usr/bin/false

... máshol van, tényleg.

De ez Debian, a Linux Mint néha más könyvárba tesz dolgokat (mint a Debian), mert az Ubuntu változtatgat (mely a Linux Mint alapja).

Te melyik rendszert használod?
Azért, mert lala-nál is, nálam is az rkhunterben beállított elérési úton van a bináris. Ott, amit nálad hibának jelez, hiszen nincs ott. Pedig (nálam például) ott van:

which egrep
/usr/bin/egrep
which fgrep
/usr/bin/fgrep

Nekem ez segített (false dologban):
https://linuxmint.hu/comment/40165#comment-40165

kimarite képe

Rkhunter nem müködik

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#5 cslaci56: Neked itt kéne javítani az elérési utat a helyesre:

#
# Allow the specified file to be a script.
#
# This option may be specified more than once, and may use wildcard characters.
#
# The default value is the null string.
#
SCRIPTWHITELIST=/bin/egrep
SCRIPTWHITELIST=/bin/fgrep
SCRIPTWHITELIST=/bin/which
SCRIPTWHITELIST=/usr/bin/ldd
#SCRIPTWHITELIST=/usr/bin/lwp-request
SCRIPTWHITELIST=/usr/sbin/adduser
#SCRIPTWHITELIST=/usr/sbin/prelink
#SCRIPTWHITELIST=/usr/sbin/unhide.rb

A szerkesztés előtt készíts a fálról biztonsági másolatot,

sudo cp /etc/rkhunter.conf /etc/rkhunter.conf.ORIG

Majd az eredetit szerkeszd admin joggal. Az eredeti (elérési úttal):

/etc/rkhunter.conf

Tehát nem a binárisokat másolni egyik könyvtárból a másikba!
Amit csináltál. Hiszen ekkor nem a működőt vizsgálja az rkhunter, hanem egy másolatot. ;)
Ennek nincs értelme. Különben nem vizsgálja, mert kivételek (fehérlistán), de „akkor is”...: felesleges tevékenységekre nincsen szükség, vagyis áthelyezésre.

Az rkhuntert kell beállítani a rendszerhez, nem a rendszert az rkhunterhez. :)

Másolás: az eredeti megmarad. Parancsa a copy (cp).
Áthelyezés: az eredeti fájl törlődik (másolás történik törléssel). Parancsa a move (mv).
Áthelyezni semmiképpen nem jó, mert nem fognak működni: egrep, fgrep.

-----

#3 Káldeus: Nem volt gondom ebből.
Neked miféle volt: szabad érdeklődni, megtudni?

kimarite képe

A legfrissebb leírás: Invalid WEB_CMD configuration option

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#1 Itt a magyarázat:
https://linuxmint.hu/comment/41388#comment-41388

cslaci56 képe

Nekem az rkhunter

Beküldte cslaci56 -

Értékelés: 

0
Még nincs értékelve

Nekem az rkhunter telepitésekor az egrep, fgrep fájlok alapból a /bin/ mappába települnek, a false is.Mint20 Xfce 64 bit.Átolvasva a javaslatokat végülis átirtam  a két fájl elérési utját a.conf fájlban /usr/bin/-ről /bin/-re.Működik.Megjegyzem a korábbi másolásos eljárással is gond nélkül lefutott a rendszer ellenőrzése.Viszont az --update nálam sem működik a javasolt megoldásokkal sem.

kimarite képe

Nekem az rkhunter

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#8 Nekem az rkhunter telepitésekor az egrep, fgrep fájlok alapból a /bin/ mappába települnek, a false is.Mint20 Xfce 64 bit.

Valóban:

which egrep fgrep ; echo ; inxi -S
/bin/egrep
/bin/fgrep

System:
  Host: kimuly-VirtualBox Kernel: 5.4.0-47-generic x86_64 bits: 64
  Desktop: Cinnamon 4.6.7 Distro: Linux Mint 20 Ulyana

De mondom, az Ubuntu terjesztés változtat ..., és olykor nem egészen érthető, mi az indok.

Átolvasva a javaslatokat végülis átirtam  a két fájl elérési utját a.conf fájlban /usr/bin/-ről /bin/-re.Működik.Megjegyzem a korábbi másolásos eljárással is gond nélkül lefutott a rendszer ellenőrzése.Viszont az --update nálam sem működik a javasolt megoldásokkal sem.

A rendszer ellenőrzése lefut, de nem a telepített, és folyamatosan frissülő egrep és fgrep binárisok lesznek vizsgálva (azaz nem, mert fehérlistások - de ez most „mindegy”), hanem a bemásolt, amely soha nem frissül, hiszen csak két fájl, soha nem lesznek használatban.

A „mindegyről”:

Mint említettem, nem a rendszert alakítjuk át egy különc alkalmazás miatt :), hanem az alkalmazást alakítjuk a telepített (Linux) rendszerhez, hogy például ott keressen binárisokat, ahova valójában a rendszer teszi azokat. Nem jó megoldást linkelt lala ..., ahogy dr. Bubó mondaná:
-- Ha a lúdtalpasnak betétet írsz fel, arra is ügyelj, hogy ne belsőleg vegye be!
Idézet innen: https://ezegychopper.cafeblog.hu/2018/12/27/emlekszel-meg-rajuk-dr-bubo-25-aranykopese/
Az alkalmazásoknak helye van, te, azaz, mint felhasználó nem határozhatod meg azokat (persze, van kivétel). Viszont egy-egy beállítást simán alakíthatsz, az általában nem tilos (attól függ, mit csinálsz). Amit csináltunk, nem tilos.

Az rkhunter beépített, saját frissítése pedig - ahogy említettem már - biztonsági okból van tltva (korábban én is „máshogy tekintettem” a történetre) tehát, ne noname, tök ismeretlen szerverekről szedjen le egy alkalmazás valamit, akár egy ártó kódot, hanem a Linux Mint saját tükreit használja: az rkhunter és az adatbázisa is innen frissül majd. Azaz, egy-egy alkalmazás ne önnállóskodjon, mert ezt nehéz ellenőrizni, gyakorlatilag nem lehet..., és ez veszélyforrás. Tehát az --update-nek nem szükséges működnie.

MIndkét dologról egyszer már írtam, elmagyaráztam...

Rkhunter nem müködik

Beküldte Káldeus -

Értékelés: 

0
Még nincs értékelve

#6 Már régen volt és akkor megjegyeztem magamnak, de a lényeg emlékeim szerint hogy a
rkhunter --propupd valamiféle HASH hibát generált és nem szabadultam meg tőle, amíg vissza nem állítottam az eredetit. Sajnálom, hogy nem tudok részletesebb infót adni, de azőta csak annyi házi szabályt jegyeztem meg magamnak, hogy "ne" :-)

kimarite képe

Miért ne használd a propupd paramétert?

Beküldte kimarite -

Értékelés: 

0
Még nincs értékelve

#11 Miért ne használd a propupd paramétert?

https://linuxmint.hu/blog/2017/08/az-rkhunter-alkalmazas-lmde2-alatt-jel...

!Megjegyzés: a leírásban szereplő '--propupd' használata csak haladó felhasználóknak javasolt (vagy inkább egyáltalán nem), mert a korábbi hibákat elrejti, úgy, hogy alapértelmezettre (a hibákkal együtt) frissíti az adatbázist, azaz éppen tapasztalható hibákat is figyelembe véve, azokat egy újabb futtatáskor (vizsgálat alkalmával)

sudo rkhunter -c

már nem mutatja.