Temos aqui um servidor CentOS 7 com o rkhunter instalado. Desde ontem, recebemos o seguinte aviso do rkhunter:
[01:10:30] Info: Starting test name 'packet_cap_apps'
[01:10:30] Checking for packet capturing applications [ Warning ]
[01:10:30] Warning: Process '/usr/sbin/NetworkManager' (PID 4654) is listening on the network.
Existe uma maneira de whitelist /usr/sbin/NetworkManagerpara o packet_cap_appsteste?
Na
rkhunter.confopção há uma opção para desabilitar testes em determinados aplicativos com oDISABLE_TESTSparâmetro onde você pode adicionar os aplicativos que não deseja que sejam testados como valor separado por espaço. Como alternativa, você pode usarSCRIPTWHITELISTa opção de lista de permissões/usr/sbin/NetworkManagercaso ainda queira executar testes nopacket_cap_apps.Você vai querer usar a
ALLOWPROCLISTENdiretiva em vez deSCRIPTWHITELIST:Cumprimentos,
Michael