Sicherheit OpenSuSE 12.1, RKHUNTER

Ich habe RKHUNTER auf meinem System installiert. Mit /etc/sysconfig unter YaST habe ich die Parameter des Programms RKHUNTER verändert, aber es
hatte sich nichts getan. (Warum? Muss man noch etwas ablaufen lassen?)
Seit gestern habe ich das Programm über crontab eingetragen. Entsprechende Mail-Nachrichten habe ich heute auf der Konsole erhalten. Ich glaube,
dass RKHUNTER ein guter Virenschutz unter SuSE 12.1 ist. Es lässt sich mit YaST problemlos installieren. Unter /etc/rkhunter.conf findet man die
Konfigurationsdatei für RKHUNTER, die man mit vi z.B. editieren kann. Dort kann man die Mailadresse eines Benutzer auf dem PC mit
user@maschinenname eintragen, um per Mail auf der Konsole benachrichtigt zu werden. Die Log-Dateien von RKHUNTER finden sich unter /var/log/ und
fangen alle mit rkhunter.* an. Über cron kann man täglich RKHUNTER starten, wöchentlich wird nach UPDATES für RKHUNTER gesucht und wenn der
Rechner hochfährt, wird der Prozess postfix Prozess neu gestartet. Dies ist notwendig, damit man die Mail erhält, die RKHUNTER generiert. Ich musste
dazu einmalig mit mkfifo /var/spool/postfix/public/pickup eine Pipe für postfix anlegen. Danach funktionierte alles. Zusammenfassend könnte man
folgendermaßen vorgehen:

  1. Schritt: Mit YaST rkhunter installieren;
  2. Schritt: In die Datei /etc/rkhunter.conf die Variablen LANGUAGE=de, APPEND_LOG=0, MAIL-ON-WARNING=“username@pcname”;
  3. Schritt: Einrichten der Named Pipe für postfix: mkfifo /var/spool/postfix/public/pickup;
  4. Schritt: Crontab -e mit folgenden Einträgen versehen:
    @daily /usr/bin/rkhunter --check --sk --nocolors --report-warnings-only --pkgmgr RPM >/dev/null 2>&1
    @weekly /usr/bin/rkhunter --update
    @reboot /etc/init.d/postfix restart >/dev/null 2>&1
    @monthly /bin/rm /var/log/rkhunter.* >/dev/null 2>&1
  5. Schritt: Lokales Postfach für die Mails einrichten, z.B. mit Thunderbid ist der Type des Mailservers: UNIX MOVEMAIL

Kleine Frage am Rande: Was macht RKHUNTER, wenn Schadsoftware erkannt wird?

Ich habe noch einige Änderungen bezüglich der Installation von RKHUNTER gemacht, die wichtig sind.

  1. Schritt: Mit YaST rkhunter installieren;

  2. Schritt: Die Datei /etc/rkhunter.conf mit cp /etc/rkhunter.conf /etc/rkhunter.conf.local kopieren.
    In die Datei /etc/rkhunter.conf.local nicht /etc/rkhunter.conf die Variablen LANGUAGE=de, APPEND_LOG=0, MAIL-ON-WARNING=“username@pcname”
    und ALLOWHIDDENDIR="/dev/.sysconfig" setzen.

  3. Schritt: Einrichten der Named Pipe für postfix: mkfifo /var/spool/postfix/public/pickup;

  4. Schritt: Crontab -e mit folgenden Einträgen versehen:
    @daily /usr/bin/rkhunter --check --sk --nocolors --report-warnings-only --pkgmgr RPM >/dev/null 2>&1
    @weekly /usr/bin/rkhunter --update
    @reboot /etc/init.d/postfix restart >/dev/null 2>&1
    @monthly /bin/rm /var/log/rkhunter.log.* >/dev/null 2>&1

  5. Schritt: Lokales Postfach für die Mails einrichten, z.B. mit Thunderbid ist der Type des Mailservers: UNIX MOVEMAIL

  6. Schritt: Nach jedem Update rkhunter --propupd ablaufen lassen, damit die HashTabellen neu aufgebaut werden.

  7. Schritt: Regelmäßig mit rkhunter --update nach Updates prüfen. (Ich habe wöchentlich in die crontab geschrieben).

  8. Schritt: Regelmäßig die Logfiles löschen (Ich habe das monatlich in die crontab geschrieben).

Jetzt konnte ich auch die Warnungen bezüglich des hidden directories /dev/.sysconfig und der Konfigurationsdatei /etc/rkhunter.conf beheben.