cron上的chkrootkit，但只有在检测到阳性(假或否)时才报告。

Question

我想创建一个运行chkrootkit的cron作业，但是如果有肯定的、错误的或不正确的，我只会给我发电子邮件。chkrootkit常见问题解答提出了以下建议：

0 3 * * * (cd /path/to/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)

...but我运行一个具有100多个节点的HPC集群。我只希望它邮寄日志，如果它发现了一些我应该注意的东西。

我该怎么做呢？

Answer 1

来自自述文件：

1. 输出消息

以下消息是由chkrootkit在其测试过程中打印的( -x和-q命令选项除外)："INFECTED"：测试确定了一个可能由已知rootkit修改的命令； .

因此，编写运行chkrootkit并将输出重定向到临时文件的小脚本，解析字符串"INFECTED“的临时文件，如果找到；发送一封带有相关信息的电子邮件，以标识主机并将该临时文件添加为附件，删除临时文件。