(gelöst) [rkhunter] SSH: PermitRootLogin - false positiv

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

(gelöst) [rkhunter] SSH: PermitRootLogin - false positiv

Beitrag von irgendwas » 19.01.2019 08:26:39

Hallo zusammen,

ich habe ein System neu aufgesetzt und erstmal rkhunter installiert. Leider erhalte ich folgende Meldung bei einem Scan:

Code: Alles auswählen

root@*****:~# rkhunter --version
Rootkit Hunter 1.4.6
root@*****:~# rkhunter --skip-keypress --check --pkgmgr dpkg --report-warnings-only
Warning: The file properties have changed:
         File: /usr/local/etc/rkhunter.conf
         Current hash: 6b044bb6d001d9fae0770c149d6d192727960c3294f837331cfcb9d3c5152f8c
         Stored hash : 41ffa9d8b4c15f1bb2f0f13f67e3133b6f3e9daa4ca8e9ae4641bf1254e6d853
         Current size: 48775    Stored size: 48689
         Current file modification time: 1547880917 (19-Jan-2019 07:55:17)
         Stored file modification time : 1523334544 (10-Apr-2018 06:29:04)
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': no
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

Ich bin etwas verwirrt, denn auf dem anderem System (Debian 9) wird die SSH-Option korrekt erkannt und keine Warnung ausgegeben. Egal welche Option ich in rkhunter.conf setze, es wird immer eine Warnung ausgegeben (zusammen mit dem Wert, den ich angegeben habe - unset/no/yes).
Zuletzt geändert von irgendwas am 19.01.2019 20:45:02, insgesamt 1-mal geändert.

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: [rkhunter] SSH: PermitRootLogin - false positiv

Beitrag von cronoik » 19.01.2019 10:12:26

Ist das Buster? Aufgrund des anderen Warnings lasse erst einmal:

Code: Alles auswählen

rkhunter --update --propupd
laufen. Des Weiteren poste mal bitte den Output von:

Code: Alles auswählen

cat -v /etc/rkhunter.conf | grep ALLOW_SSH_ROOT_USER

Code: Alles auswählen

cat -v /etc/ssh/sshd_config | grep PermitRootLogin
Hilf mit unser Wiki zu verbessern!

irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: [rkhunter] SSH: PermitRootLogin - false positiv

Beitrag von irgendwas » 19.01.2019 18:55:35

Danke für deine schnelle Antwort.

Die config-Datei liegt bei mir allerdings nicht in /etc/, sondern in /usr/local/etc/rkhunter.conf
und Debian 9.6 Stretch :wink:

Code: Alles auswählen

root@*****:~# rkhunter --update --propupd
[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 181 files, found 151

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]
  Checking file i18n/ja                                      [ No update ]
root@*****:~# cat -v /usr/local/etc/rkhunter.conf | grep ALLOW_SSH_ROOT_USER
ALLOW_SSH_ROOT_USER=no
root@*****:~# cat -v /etc/ssh/sshd_config | grep PermitRootLogin
PermitRootLogin no^M

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: [rkhunter] SSH: PermitRootLogin - false positiv

Beitrag von cronoik » 19.01.2019 19:39:00

nobody2311 hat geschrieben: ↑ zum Beitrag ↑
19.01.2019 18:55:35
...und Debian 9.6 Stretch
In Stretch ist allerdings nur rkhunter 1.4.2. Deshalb die Frage nach Buster, aber ich vermute dies ist nicht das Problem. In der /etc/ssh/sshd_config hast du ein ^M (circumflex M) stehen und dies fuehrt wahrscheinlich zu der rkhunter Warnung. Entferne das mal und schaue dann was rkhunter sagt (genaueres und Beispiele zum Ersetzen [1]).

[1] https://stackoverflow.com/questions/584 ... ean-in-vim
Hilf mit unser Wiki zu verbessern!

irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: [rkhunter] SSH: PermitRootLogin - false positiv

Beitrag von irgendwas » 19.01.2019 20:32:59

Das wars - funktioniert :THX:

Ich erinnere mich grad dunkel daran, dass ich sowas, in einem anderen Zusammenhang, schon mal hatte. :facepalm:

Danke für deine Hilfe :hail:

Antworten