RKhunter gibt meldung aus - gefahr?

Rund um die Sicherheit des Systems und die Applikationen
malo
Posts: 61
Joined: 2005-01-03 22:40

RKhunter gibt meldung aus - gefahr?

Post by malo » 2007-12-21 09:12

vorhin per mail eingetruddelt.


Determining OS... Warning: This operating system is not fully supported!
Scanning for hidden files... [ Warning! ] Checking for allowed root login... Watch out Root login possible. Possible risk!
-----------------------------------------------------------------

Found warnings:
[06:25:47] Warning: This operating system is not fully supported!
[06:26:01] WARNING, found: /dev/.static (directory) /dev/.udev (directory) /dev/.initramfs (directory) [06:26:03] Warning: root login possible. Change for your safety the 'PermitRootLogin'



PS: ein chkrootkit gibts

unteranderem aus:(die andern ausgaben sind " nothing found bzw nothing deleted )


Searching for suspicious files and dirs, it may take a while...
/lib/init/rw/.mdadm
/lib/init/rw/.ramfs
/lib/init/rw/.mdadm


eine gefahr? bzw was sollte ich nun machen=? > root pw hab ich jetzt schon geändert

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: RKhunter gibt meldung aus - gefahr?

Post by EdRoxter » 2007-12-21 10:35

Das Root-Passwort zu ändern ist nicht das, was dir rkhunter sagt. Er sagt dir, dass es gefährlich ist, dass man sich überhaupt direkt als root einloggen kann.
Leg einen normalen User an, der sich via Pubkey-Authentification einloggt, verbiete in der sshd_config das root-Login generell und werde via "su" oder "sudo" nur dann root, wenn du das wirklich brauchst.

Warum auch immer eine .udev, eine .static und eine .initramfs in /dev sind (da sind normalerweise keine "echten" Dateien drin), das sieht mir nicht nach etwas Kritischem aus. Eher nach einem sehr merkwürdigen Provider-Image.

Aber wenn du schon Rootlogin erlaubst, solltest du dir vielleicht über grundlegende Sicherheitsfragen noch einmal Gedanken machen...

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: RKhunter gibt meldung aus - gefahr?

Post by flo » 2007-12-21 10:57

udev ist bei einigen Distris schon im Einsatz - die Einträge sind aber harmlos, wenn Du udev benutzt.

http://www.mail-archive.com/debian-bugs ... 71422.html

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: RKhunter gibt meldung aus - gefahr?

Post by EdRoxter » 2007-12-21 11:46

Mh. Ich bin ja sonst Debian nicht abgeneigt, aber wieso meinen die Maintainer, offensichtlich Binaries in /dev ablegen zu müssen? Kritisch ist das Ganze wirklich nicht.

Schon viel eher, dass Rootlogin erlaubt ist.. Was bei sicheren Passwörtern zwar nicht unbedingt gefährlich ist, aber der Admin-Paranoia wird es bei Weitem nicht gerecht.. ;)

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: RKhunter gibt meldung aus - gefahr?

Post by flo » 2007-12-21 12:47

Da oben steht doch nichts von binaries?