rkhunterが空のログファイルスキャンと欠落しているログファイルスキャンをスキップするのはなぜですか?
私は自分のマシンを次のようにスキャンしたときに気づきました:
Sudo rkhunter --checkall --sk
ログファイルの出力のその部分は次のとおりです。
[21:50:51] Checking for missing log files [ Skipped ]
[21:50:51] Checking for empty log files [ Skipped ]
[21:50:51]
[21:50:51] Info: Test 'apps' disabled at users request.
これらのテストの一部がスキップされるのはなぜですか?そして、どうすればそれらをスキップしないようにできますか?また、何もテストしないように依頼していないので、Test 'apps' disabled at users requestとはどういう意味ですか?
OS情報:
Description: Ubuntu 14.10
Release: 14.10
パッケージ情報:
rkhunter:
Installed: 1.4.0-3
Candidate: 1.4.0-3
Version table:
*** 1.4.0-3 0
500 http://gb.archive.ubuntu.com/ubuntu/ utopic/universe AMD64 Packages
100 /var/lib/dpkg/status
まず、 manpage--checkallによると有効なコマンドではありません。おそらくrkhunterはそれを--checkとして解釈します。
欠落しているログファイルと空のログファイルのチェックは、filesystemテストによって実行されます。どちらもユーザー定義のチェックです。チェックすることになっているログファイルをrkhunterに伝える必要があります。これは/etc/rkhunter.confの関連部分です。
# The two options below may be used to check if a file is missing or empty
# (that is, it has a size of zero). The EMPTY_LOGFILES option will also check
# if the file is missing, since that can be interpreted as a file of no size.
# However, the file will only be reported as missing if the MISSING_LOGFILES
# option hasn't already done this.
#
# Both options are space-separated lists of pathnames, and may be specified
# more than once.
#
# NOTE: Log files are usually 'rotated' by some mechanism. At that time it is
# perfectly possible for the file to be either missing or empty. As such these
# options may produce false-positive warnings when log files are rotated.
#
# For both options the default value is the null string.
#
#EMPTY_LOGFILES=""
#MISSING_LOGFILES=""
自明だと思います。
Test 'apps' disabled at users request情報メッセージに関しては、答えは/etc/rkhunter.confにもあります。これはあなたが見るべき場所です:
# These two options determine which tests are to be performed. The ENABLE_TESTS
# option can use the Word 'ALL' to refer to all of the available tests. The
# DISABLE_TESTS option can use the Word 'NONE' to mean that no tests are
# disabled. The list of disabled tests is applied to the list of enabled tests.
#
# Both options are space-separated lists of test names, and both options may
# be specified more than once. The currently available test names can be seen
# by using the command 'rkhunter --list tests'.
#
# The supplied configuration file has some tests already disabled, and these
# are tests that will be used only occasionally, can be considered 'advanced'
# or that are prone to produce more than the average number of false-positives.
#
# Please read the README file for more details about enabling and disabling
# tests, the test names, and how rkhunter behaves when these options are used.
#
# The default values are to enable all tests and to disable none. However, if
# either of the options below are specified, then they will override the
# program defaults.
#
# hidden_procs test requires the unhide and/or unhide.rb commands which are
# part of the unhide respectively unhide.rb packages in Debian.
#
# apps test is disabled by default as it triggers warnings about outdated
# applications (and warns about possible security risk: we better trust
# the Debian Security Team).
#
ENABLE_TESTS=ALL
DISABLE_TESTS=suspscan hidden_procs deleted_files packet_cap_apps apps
本当にすべてのテストを実行したい場合は、DISABLE_TESTSから実行するテストの名前を削除するか、すべてをNONEに置き換えることができます。または、rkhunterに次のコマンドですべてのテストを実行するように指示することもできます。
Sudo rkhunter --sk --enable all --disable none