%

Rkhunter : Warning: File has the immutable-bit set

Article publié, le et modifié le
2 minutes de lecture

Cet article contient 227 mots.
Source brute de l'article :
Commit version : d58c6ca

Description

Rkhunter émet cet avis :
Warning: File ‘/sbin/xyz’ has the immutable-bit set.
et, il le fait sur plusieurs fichiers !

Ahahhh, petit malin, je vous y prend, vous avez utilisez l’ outil chattr avec l'option `-I` , n’est-ce pas ?!
Tant mieux… sinon, vous avez peut-être un petit problème !

Configuration

Le fichier de configuration /etc/rkhunter.conf renferme une option à-priori utile : IMMUTABLE_SET=0 !

Sauf qu’une fois activée, lors d’une vérification, ce sont les quelques binaires qui ne peuvent avoir l’option immutable, qui vont recevoir ladite complainte.

C’est un peu l’histoire du serpent qui se mort la queue, n’est-ce pas !

Puisque vous utilisez l’option I du binaire chattr, modifiez le fichier crontab relatif à rkhunter…

Le fichier /etc/default/rkhunter nous informe de ceci :
$ cat /etc/default/rkhunter
# Defaults for rkhunter automatic tasks
# sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter
#
# This is a POSIX shell fragment
#
(…)

Nous savons que lors de l’installation, il se crée un fichier de cron, dans /etc/crond.daily/rkhunter - vérifiez votre cas - ouvrons-le pour le modifier ainsi :

Fichier : /etc/crond.daily/rkhunter

Résultat, lors de la future vérification planifiée de l’outil rkhunter, il exécutera votre script lié à l’usage de chattr… en désactivant d’abord, l’option immutable, puis fera son boulot, et pour finir réactivera l’option.

Si c’est vous qui l’exécutez, pensez d’abord à désactiver… puis à réactiver votre protection !