Chkrootkitの偽陽性「ホワイトリスト」
Chkrootkitの誤検出のいくつかを「ホワイトリスト」に入れたいので、/etc/chkrootkit.conf_を「ホワイトリスト」として使用したいと思います。
しかし、これは機能しません:_RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'_
そして、私はまだ次の誤検知を取得します:
Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])
私はそれが本当のホワイトリストではないことを知っていますが、誤検知は毎日私にメールを送ってはいけません。 _chkrootkit version 0.49_
あなたはそれらを置くことができます...
/etc/chkrootkit.filter
これを入れると......
^eth0: PACKET SNIFFER\(/sbin/dhclient\[[0-9]*\])$
eth0のdhclientは無視されます。このファイルを/etc/cron.daily/chkrootkitに追加します。検索...
$CHKROOTKIT $RUN_DAILY_OPTS
お気に入りのエディターで変更して...
$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true
そして(最初のどこかに)追加...
FILTER=/etc/chkrootkit.filter
後...
CF=/etc/chkrootkit.conf
始める前に...
./chkrootkit
Dhclientへの偽陽性の参照が表示され、これを編集した後、再度実行する必要があります。 dhclientへの参照はなくなるはずです。
ただし、これに追加したもののうち、感染したものは警告されなくなります。そのため、この種のフィルタリングには注意してください。より良いのは、それらの定義を更新することです。