Rkhunter è un valido tool per identificare eventuali rootkit presenti sulla nostra macchina. In particolare, esso effettua una scansione ogni giorno, alla ricerca dei suddetti malware e se nota qualcosa di “anomalo” procede con l’invio di un’opportuna email di notifica.

Detto ciò, qualche giorno fa ho ricevuto la seguente email (proveniente da ben 4 macchine che gestisco, tutte sotto il medesimo dominio):

Oggetto: [rkhunter] Warnings found for hostname

Messaggio: Please inspect this machine, because it may be infected.

A differenza degli altri “falsi allarmi”, questa volta non ho fatto nessun balzo dalla sedia, ma ho deciso di identificare la causa delle suddette email.

Per prima cosa ho deciso di spulciare il file di log dell’applicativo in questione, ovvero /var/log/rkhunter/rkhunter.log, facendo un grep sulla keyword Warning.

Ecco l’output (parziale) del suddetto comando:

[04:02:45]   Checking if SSH root access is allowed          [ Warning ]
[04:02:45] Warning: The SSH and rkhunter configuration options should be the same:

Ok, problema identificato: se disabilito l’accesso root via SSH, devo specificare tale modifica anche all’interno del file di configurazione di rkhunter:

[root@hostname ~]$ nano /etc/rkhunter.conf

sostituendo

ALLOW_SSH_ROOT_USER=unset

con

ALLOW_SSH_ROOT_USER=no

Fine dei falsi allarmi.

Alla prossima.