Информативное почтовое сообщение от rkhunter

На большинстве linux серверов для периодического сканирования сервера на руткиты, бэкдоры и возможные локальные эксплойты, используется пакет rkhunter. При этом запуск утилиты происходит по задаче в crontab. Все замечательно, но почтовое сообщение от rkhunter, которое по умолчанию присылается на почтовый адрес администратора не информативно. Оно уведомляет лишь о том, что rkhunter нашел какую-то проблему (или проблемы).

Для использования системы оповещения по умолчанию нужно указать почтовый адрес администратора в файл /etc/rkhunter.conf

Для этого отредактируйте в любом текстовом редакторе конфигурационный файл, прописав параметр MAIL-ON-WARNING. Но лучше не делайте этого, так как данная статья и позволяет решить возникающую при этом проблему — получение сообщений без указания что собственно произошло 🙂

MAIL-ON-WARNING=root@mydomain.com

и добавить задачу в crontab. Например, как указано ниже

0 11 * * * /usr/bin/rkhunter --cronjob --update --quiet >/dev/null 2>&1

При этом если была найдена проблема, на почту будет отправлено такое сообщение:

[rkhunter] Warnings found for mydomain

Please inspect this machine, because it may be infected.

Установить «ifne» утилиту для предотвращения получения пустых сообщений в случае если to rkhunter не выдает предупреждений.

yum install moreutils

Задачу для crontab прописать так

rkhunter --update --check --sk --nocolors --rwo | ifne mail -s "rkhunter warnings for `uname -n`" root@mydomain.com

В результате вы будете получать почтовое сообщение от rkhunter с кратким перечнем обнаруженных проблем. Сообщение будет приходить только если проблемы были обнаружены — не засорять ваш почтовый ящик мусором.

Так или иначе, но настоятельно рекомендуем использовать rkhunter (или аналогичный пакет; например, aida). Пусть даже при этом пакет для сканирования будет присылать не особо информативные сообщения. Да хоть пустые…

Добавить комментарий