Salut, Le lundi 03 janv. 2011 à 12:10:33 (+0100), tv.deb...@googlemail.com a écrit : > Le 03/01/2011 10:59, a.lb a écrit : > > Bonjour, > > Le rapport de rkhunter me dit ceci: > > Warning: Checking for possible rootkit strings [ Warning ] > > Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible > > rootkit: Xzibit Rootkit > > Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible > > rootkit: > > Xzibit Rootkit
Voir ci-dessous > > Warning: Hidden directory found: /dev/.udev > > Warning: Hidden directory found: /dev/.initramfs C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des répertoires cachés à un endroit peu commun. Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés. Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à rkhunter d'ignorer ces répertoires. > c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il > soit toujours présent dans Debian ? Ce "bogue" est toujours présent dans la dernière version amont (1.3.8 dans experimental). Voir : http://sourceforge.net/tracker/?func=detail&aid=2951178&group_id=155034&atid=794187 Il est très difficile de résoudre proprement le problème. Dans le rapport original, il est proposé de pouvoir spécifier le nombre d'occurences de la chaine autorisées dans chaque fichier. La solution n'est pas encore implémentée et est de toute façon un simple contournement. La solution pour contourner les avertissements, tout en garantissant la meilleure détection possible est : 1. Exclure la détection de la chaîne "hdparm" du script d'initialisation 2. Ajouter le script au test d'intégrité 3. Dans le cas de ce problème, il faut également autoriser /etc/init.d/hdparm à être un script Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local): RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm" USER_FILEPROP_FILES_DIRS="/etc/init.d/.depend.boot /etc/init.d/hdparm" SCRIPTWHITELIST="/etc/init.d/hdparm" @+ Julien -- ,''`. Julien Valroff ~ <jul...@kirya.net> ~ <jul...@debian.org> : :' : Debian Developer & Free software contributor `. `' http://www.kirya.net/ `- 4096R/ E1D8 5796 8214 4687 E416 948C 859F EF67 258E 26B1 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110103190454.gb25...@kirya.net