Rkhunter : Warning: File has the immutable-bit set

Article publié, le 24 Juillet 2017 et modifié le 10 Octobre 2020
2 minutes de lecture

Cet article contient 409 mots.
Source brute de l'article :
Commit version : d58c6ca

Description

Rkhunter émet cet avis : Warning: File ‘/sbin/xyz’ has the immutable-bit set. et, il le fait sur plusieurs fichiers !

Ahahhh, petit malin, je vous y prend, vous avez utilisez l’ outil chattr avec l'option `-I` , n’est-ce pas ?! Tant mieux… sinon, vous avez peut-être un petit problème !

Configuration

Le fichier de configuration /etc/rkhunter.conf renferme une option à-priori utile : IMMUTABLE_SET=0 !

Sauf qu’une fois activée, lors d’une vérification, ce sont les quelques binaires qui ne peuvent avoir l’option immutable, qui vont recevoir ladite complainte.

C’est un peu l’histoire du serpent qui se mort la queue, n’est-ce pas !

Puisque vous utilisez l’option I du binaire chattr, modifiez le fichier crontab relatif à rkhunter…

Le fichier /etc/default/rkhunter nous informe de ceci : $ cat /etc/default/rkhunter # Defaults for rkhunter automatic tasks # sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter # # This is a POSIX shell fragment # (…)

Nous savons que lors de l’installation, il se crée un fichier de cron, dans /etc/crond.daily/rkhunter - vérifiez votre cas - ouvrons-le pour le modifier ainsi :

Fichier : /etc/crond.daily/rkhunter

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47


#!/bin/sh

RKHUNTER=/usr/bin/rkhunter

test -x $RKHUNTER || exit 0

#add by me 
/repertoire/chattr_sys false

# source our config
. /etc/default/rkhunter

if [ -z "$NICE" ]; then
    NICE=0
fi

if [ -z "$RUN_CHECK_ON_BATTERY" ]; then
    RUN_CHECK_ON_BATTERY="false"
fi

# Do not run daily check if running on battery except if explicitely allowed
if [ -x /usr/bin/on_ac_power >/dev/null 2>&1 ]; then
    on_ac_power >/dev/null 2>&1
    [ $? -eq 1 -a "$RUN_CHECK_ON_BATTERY" != "true" ] && exit 0
fi

case "$CRON_DAILY_RUN" in
     [YyTt]*)
        OUTFILE=`mktemp` || exit 1
        /usr/bin/nice -n $NICE $RKHUNTER --cronjob --report-warnings-only --appendlog > $OUTFILE
        if [ -s "$OUTFILE" -a -n "$REPORT_EMAIL" ]; then
          (
            echo "Subject: [rkhunter] $(hostname -f) - Daily report"
            echo "To: $REPORT_EMAIL"
            echo ""
            cat $OUTFILE
          ) | /usr/sbin/sendmail $REPORT_EMAIL
        fi
        rm -f $OUTFILE
        ;;
      *)
       exit 0
       ;;
esac

#add by me : 
/repertoire/chattr_sys true

Résultat, lors de la future vérification planifiée de l’outil rkhunter, il exécutera votre script lié à l’usage de chattr… en désactivant d’abord, l’option immutable, puis fera son boulot, et pour finir réactivera l’option.

Si c’est vous qui l’exécutez, pensez d’abord à désactiver… puis à réactiver votre protection !