Wer kennt es nicht, man macht ein Update auf seiner Maschine, alles stimmt und rkhunter ist nach dem Update der Meinung, dass ist doch alles Falsch nun.
In diesem Moment sollte man am besten vor dem Update einen Systemcheck durführen ( Händisch, da rkhunter hdparm, /dev/.udev, /dev/.initramfs, /dev/.mdadm.map und portsentry moniert und aptitude nicht weiterläuft, als Bsp. rkhunter -c –cs2 –rwo –sk -X ) und nach dem Update. Schaut nach einer ganz schönen Arbeit aus, nur um seine Maschine einem Update zu unterziehen.
Da springt natürlich für uns eine Funktion ein, welche bei Debian scheinbar nicht vielen bekannt ist und einen mächtigen Syntax besitzt.
Aptitudes und das darunterliegende apt könne konfiguriert werden und zwar über die Datei: /etc/apt/apt.conf.d/70debconf
Wenn man die Datei betrachtet:
// Pre-configure all packages with debconf before they are installed. // If you don't like it, comment it out. DPkg::Pre-Install-Pkgs {"/usr/sbin/dpkg-preconfigure --apt || true";};
ist in dem Moment nur der standard vorhanden. Das möchten wir ändern.
Ich setze ein Befehl ein, welcher nach dem Update ausgeführt werden soll, Dpkg::Post-Invoke {„Befehl“;};.
DPkg::Post-Invoke {"rkhunter --propupd";};
Hier wird nun ein Update der neu installierten Files, bzw der kompletten Datenbank von rkhunter gemacht, welches die False/Positives auszumerzt.
dies unterdürckt Fehlermeldungen bei dem nächsten Cronjob. Ein Update der coreutils hätte fatale Folgen, ein dpkg -L coreutils gibt Auskunft darüber ;)
Dieser Tipp dient nicht dem absolutem Schutz vor einem Rootkit und es sollte nicht nur rkhunter lokal ausgeührt werden, sondern auch mal mit einer LiveCD. Wer rkhunter nutzt, sollte sich wirklich mit dem Programm auseinandersetzen und sich im Klaren darüber sein, dass Sicherheit ein laufender Prozess ist und vereinzelte Programme nicht den Menschen ersetzen.