Информативное почтовое сообщение от rkhunter
На большинстве linux серверов для периодического сканирования сервера на руткиты, бэкдоры и возможные локальные эксплойты, используется пакет rkhunter. При этом запуск утилиты происходит по задаче в crontab. Все замечательно, но почтовое сообщение от rkhunter, которое по умолчанию присылается на почтовый адрес администратора не информативно. Оно уведомляет лишь о том, что rkhunter нашел какую-то проблему (или проблемы).
Для использования системы оповещения по умолчанию нужно указать почтовый адрес администратора в файл /etc/rkhunter.conf
Для этого отредактируйте в любом текстовом редакторе конфигурационный файл, прописав параметр MAIL-ON-WARNING. Но лучше не делайте этого, так как данная статья и позволяет решить возникающую при этом проблему — получение сообщений без указания что собственно произошло 🙂
и добавить задачу в crontab. Например, как указано ниже
0 11 * * * /usr/bin/rkhunter --cronjob --update --quiet >/dev/null 2>&1
При этом если была найдена проблема, на почту будет отправлено такое сообщение:
[rkhunter] Warnings found for mydomain
Please inspect this machine, because it may be infected.
Установить «ifne» утилиту для предотвращения получения пустых сообщений в случае если to rkhunter не выдает предупреждений.
yum install moreutils
Задачу для crontab прописать так
rkhunter --update --check --sk --nocolors --rwo | ifne mail -s "rkhunter warnings for `uname -n`" [email protected]
В результате вы будете получать почтовое сообщение от rkhunter с кратким перечнем обнаруженных проблем. Сообщение будет приходить только если проблемы были обнаружены — не засорять ваш почтовый ящик мусором.
Так или иначе, но настоятельно рекомендуем использовать rkhunter (или аналогичный пакет; например, aida). Пусть даже при этом пакет для сканирования будет присылать не особо информативные сообщения. Да хоть пустые…