PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : rkhunter



hjn
06.07.05, 16:36
hallo

benutze suse 9.3 und habe mal rkhunter ausprobiert
leider kommt die meldung
"Warning: This operations system is not supported!"
und noch ein paar andere warnungen

gibt es dafür eine lösung oder ein anderes programm

besten dank im vorraus
hjn

LX-Ben
06.07.05, 17:07
Ein bischen genauer solltest du die rkhunter-Meldungen schon von der konsole kopieren:


.. Line: Warning: this operating system is not fully supported!
Warning: Cannot find md5_not_known
..
Line: .. [ Warning (SSH v1 allowed) ]
* MD5 scan
MD5 compared : 0
Incorrect MD5 checksums : 0

* File scan
Scanned files: 342
Possible infected files: 0

* Rootkits
Possible rootkits:

Scanning took 66 seconds

*important*
Scan your system sometimes manually with full output enabled!
Some errors has been found while checking. Please perform a manual check on this machine Sonne
1.Die Meldung ' operating system is not fully supported!' kommt bei verschiedenen Linux-Distributionen, hat also wohl nicht viel zu bedeuten.
2. 'Warning: Cannot find md5_not_known' heißt, dass für diesen Rechner offenbar keine Prüfsummen für (kritische) Dateien gebildet werden.
3. 'Line: .. [ Warning (SSH v1 allowed) ]' ist zum Beispiel eine sehr wichtige Warnmeldung – die Aktivierung von SSH hat auf einer reinen Workstation kaum etwas zu suchen.
4. '* Rootkits - Possible rootkits:' - hiermit bestätigt rkhunter mit seiner wichtigsten Aufgabe, dass mit der genutzten Version in 342 kritischen files keine rootkits gefunden wurden.

Du solltest wohl erstmal klären, was du von rkhunter erwartest – es ist jedenfalls KEIN Virenprüfer. Und kein checker auf kritische geöffnete Ports, dazu dient zum Beispiel nmap bzw. nmapfe (nmap-FrontEnd): nmapfe auf die eigene IP (also sich selbst scannen) ist ein guter ergänzender Sicherheits-check.

Krischi
06.07.05, 17:08
Speziell die genannte Warnung dürfte damit zu tun haben, daß rkhunter mit SuSE 9.3 noch nicht getestet wurde.
Und wenn nicht getestet wurde, dann kann diese Version natürlich auch nicht offiziell unterstützt werden.
:)

hjn
06.07.05, 17:52
hallo

@Krischi
ist schon klar das 9.3 noch nicht unterstütz wird
darum auch ja meine frage ob es evt noch andere programme gibt

@LX-Ben
ich wollte nicht die anderen warnungen noch auflisten
erwarten tue ich von dem programm zusätzliche sicherheit

bei 9.1 lief es ja
virenscanner, firewall, und noch einiges läuft sowieso schon
ich konnte ja erst mit den warnungen leben wenn ich nicht jedesmal
die log-dateien ansehen muesste ob es die selben warnungen sind

besten dank
hjn

hjn
06.07.05, 18:20
gelöscht
weil doppelt

cane
07.07.05, 08:19
nmapfe auf die eigene IP (also sich selbst scannen) ist ein guter ergänzender Sicherheits-check.

Hallo LX-Ben,

ich führe einen Portscan immer von einem Zweitsystem aus. Führt ein Portscan auf die eigene IP zu den gleichen Ergebnissen? Könnte mir vorstellen das dabei die Ergebnisse verfälscht werden...

mfg
cane

LX-Ben
07.07.05, 11:25
Hallo LX-Ben,

ich führe einen Portscan immer von einem Zweitsystem aus. Führt ein Portscan auf die eigene IP zu den gleichen Ergebnissen? Könnte mir vorstellen das dabei die Ergebnisse verfälscht werden...

mfg
cane
Dieser Tipp stammt von go-linux.info – start – security. Ich habe keine Zweifel, dass die das ausprobiert haben – aber mit deinem Zweitsystem kannst du ja beides testen und hier posten. Prinzipiell ist es aber sehr unwahrscheinlich, dass die Programmierer erstmal testen, ob es sich bei der IP-Eingabe um die (temporär zugeteilte lokale) IP des Serviceproviders handelt oder eine fremde IP, um sodann 'eine Sonderschleife zu fahren' :D

Testweise hatte ich auch mal mehrere (externe) scanner aus dem Internet genutzt, und zwar die volle Range – dabei waren keine Abweichungen zu nmapfe feststellbar – der offene ssh wurde von allen besseren externen scannern erkannt.

Probehalber ist auch ein Test mit der lokalen IP '127.0.0.1' möglich – und zwar jeweils im offline- bzw. online-Modus.

PS: Auf go-linux.info gibt es auch sehr informative Hinweise auf die Einstellungen der System-Dateien /etc/host.deny ..host.allow und ..access.conf – sowohl für reine Workstations als auch eigenes Netzwerk oder Sperren von Fremd-IPs.

Dellerium
07.07.05, 11:56
Probehalber ist auch ein Test mit der lokalen IP '127.0.0.1' möglich – und zwar jeweils im offline- bzw. online-Modus.


Möglich ja, aber Sinnvoll? Imho ist ein Portscan vom eigenen System aus überflüssig. Ich habe z.B. auf meinen Maschinen Regeln, die Lokal einiges erlauben, aber nicht von ausserhalb... ergo würde ich völlig verfälschte Ergebnisse sehen. Und auch wenn man seine Config nicht selber scheibt werden die Ergebnisse vermutlich nicht das widerspiegeln, was eigentlich Sache ist...

fuffy
07.07.05, 12:09
Hi!


Möglich ja, aber Sinnvoll?
Man weiß zumindest, was auf seinem eigenen System offen ist. Auf geschlossene Ports kann auch nicht von einem anderen Rechner aus zugegriffen werden. Man kann auf nem vorgeschalteten Rechner ("Firewall") die "Rechte" nur noch einschränken, aber nicht erweitern. Wäre ja noch schöner.

Gruß
fuffy