ostrzeżenie rkhunter o /etc/.java /etc/.udev /etc/.initramfs

25

Używam Ubuntu 10.04.1 LTS. Używam rkhunter aby sprawdzić rootkitów.

rkhunter narzeka na następujące ukryte pliki i katalogi. Myślę, że te pliki nie stanowią prawdziwego problemu w moim systemie, ale jak mogę sprawdzić, czy są to prawidłowe pliki?

[07:57:45]   Checking for hidden files and directories       [ Warning ]
[07:57:45] Warning: Hidden directory found: /etc/.java
[07:57:45] Warning: Hidden directory found: /dev/.udev
[07:57:45] Warning: Hidden directory found: /dev/.initramfs

Aktualizacja

Okazuje się, że te katalogi są wyraźnie wymienione w /etc/rkhunter.conf, co sugeruje, że jest to często zadawane pytanie rkhunter. Z rkhunter.conf:

#
# Allow the specified hidden directories.
# One directory per line (use multiple ALLOWHIDDENDIR lines).
#
#ALLOWHIDDENDIR=/etc/.java
#ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
#ALLOWHIDDENDIR=/dev/.static
#ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
#ALLOWHIDDENDIR=/dev/.mdadm
Stefan Lasiewski
źródło

Odpowiedzi:

25

Zasadniczo zapytaj Google, ale te 3 nie są niebezpieczne!

/etc/.java jest tworzony przez sun-java (i możliwe również przez OpenJDK) /dev/.udev jest tworzony przez demona udevd /dev/.initramfs, jeśli dobrze pamiętam, gdzie początkowy system plików RAM jest zamontowany podczas uruchamiania systemu proces.

LassePoulsen
źródło
2
+1 Otrzymujesz podobne fałszywe alarmy w chkrootkit. Jest tak, ponieważ rkhunter jest skonfigurowany do traktowania ukrytych katalogów jako podejrzanych.
Richard Holloway,