Acabei de executar o rkhunter no meu novo MBP, que executa um Mac OS X recém-instalado e recebo os seguintes avisos:
Verificando alterações no arquivo passwd [Aviso]
Verificando alterações no arquivo de grupo [Aviso]
Verificando se o log remoto do syslog é permitido [Aviso]
Verificando arquivos e diretórios ocultos [Aviso]
Arquivo oculto encontrado: /usr/share/man/man5/.rhosts.5.gz: gzip data compactado, do Unix
Devo apenas ignorá-los ..?
Respostas:
Esses avisos podem ser bastante benignos. Alterações de senhas, grupos e syslog podem ser bastante normais no uso do sistema, por exemplo, adicionando usuários e grupos.
O arquivo oculto faz parte dos pacotes do Man, portanto, não me preocuparia muito, pois o Man usa muitos arquivos compactados no formato gz.
Resumindo, mesmo que você os ignore, pode ter certeza de que eles não são perigosos. Você precisa de um entendimento completo da saída para interpretá-la.
Imagine alguém configurando um IDS complexo, mas sem ter idéia de como interpretar os logs. Esse é o maior perigo .
rkhuntertende a produzir muitos falsos positivos. Melhor prevenir do que remediar um servidor, mas frustrante e confuso para o usuário médio do computador.
Não pretendo ser descuidado, mas, a menos que você esteja usando seu laptop de maneiras bastante incomuns, é extremamente improvável que você tenha um rootkit nele. Então, minha resposta é "Sim, ignore". Francamente, eu não usaria rkhunternada em um laptop - supondo que o laptop consiga o uso normal do laptop (por assim dizer) e não seja um servidor nos fins de semana ou um hub ponto a ponto. (No entanto, eu deveria verificar as configurações do firewall, praticar uma navegação segura, ter cuidado com arquivos de outras pessoas etc.)