rkhunter psswd和组文件更改警告

Question

今天，我用rkhunter对我的机器做了扫描：

sudo rkhunter --checkall

我收到的警告是：

Checking for passwd file changes                         [ Warning ]
Checking for group file changes                          [ Warning ]

这有什么好担心的吗？如果是的话，我该怎么做呢？

OS信息：

Description:    Ubuntu 14.10
Release:    14.10

Answer 1

你需要问问自己：

• 我添加用户了吗？
• 我是否安装了可能添加了用户的软件？

使用的最佳方法是在屏幕上列出/etc/passwd文件。

more /etc/passwd

并检查意外的用户名。

来自rkhunter的这些通知很可能是由过时的引用文件引起的。你也许想做个..。

sudo rkhunter --update
sudo rkhunter --propupd

在你安装新软件之后。第一个创建一个新的数据库引用文件，第二个标记该引用文件作为起点。

如果找到一个rootkit，它可能会抛出更多的警报，而不仅仅是关于/etc/passwd的通知。这只是一个保存“用户”的文件，仅仅启动一个rootkit是不够的。