とーますメモ

Ruby on Rails / Goなどの学習メモ

【Rootkit Hunter】「Warning: The file properties have changed:」という警告が出た時の対応方法

自分の場合、Slackで通知が来る設定にしているのだが
「Warning: The file properties have changed:○○○○○○○○...」
というようなエラーが届くようになった。

調べてみたら、システムやパッケージをアップデートしたら、
以下のコマンドで、rkhunterのプロパティデータベースを"手動"で更新する必要があるみたい。

$rkhunter --propupd

Means update your system file properties. This is a necessary step to establish a foundation database file to compare scans. There is another command called --update which is not the same. On a clean install, the first run of propupd, creates a new database file. On later scans, running the propupd command, updates the database file. So, to update the database file, you are satisfied you have only trusted source system file changes. RKH offers choices, in the CONF, in how you verify system file changes. You can use your package manager and other resources to verify changes reported in the log file.

Note the RKH team do not maintain an independent properties database for each distro and their various releases. The properties database file is always maintained locally by you.

By Rootkit Hunter / Wiki / propupd

要は、rkhunterスキャン時に、このプロパティデータベースのデータと比較して、
コマンドなどが意図されていない変更がされていないかチェックしているっぽい。

rkhunter --propupdを叩くことで、現在のシステム、パッケージにあったプロパティ情報を更新しているということか。

なので

1)rkhunter- propupdを実行
2)再度スキャン

をしたら、警告はでなくなった。

以上