[RESOLU] Des Warning dans le report rkhunter

Support Debian
#1

Bonjour la famille.

J’ai un petit serveur sous Debian Lenny! J’ai installé rkhunter et chkrootkit pour vérifier mon serveur. Rkunter me reporte des warnings :

[code]Warning: The file properties have changed:
File: /bin/mktemp
Current hash: cb8928cb9aba84186d11744596a75dfd2bd420bc
Stored hash : ac19f5e6d493de185416217febced0a32a13fa9d
Current inode: 10121 Stored inode: 10069
Current size: 6672 Stored size: 6824
Current file modification time: 1218814174
Stored file modification time : 1202665904

Warning: The file properties have changed:
File: /usr/sbin/adduser
Current hash: 54afc793cea2831f256d0bc4a08e7a9ccf57a80b
Stored hash : d8aa5d3bc26d54240bd9a4e8084be2f8e9da2fc2
Current inode: 102798 Stored inode: 102824
Current file modification time: 1218404130
Stored file modification time : 1212714220

Warning: Found enabled inetd service: imap2

Warning: Found enabled inetd service: imaps

Warning: Found enabled inetd service: ident

Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option ‘PermitRootLogin’: yes
Rkhunter configuration option ‘ALLOW_SSH_ROOT_USER’: no

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log) [/code]

Je suis loin d’être expert en sécurité :laughing: . Donc, je me retourne vers vos connaissances et expériences pour déchiffrer ces warnings. L’accès ssh en root est déjà résolu (au moins, j’ai compris ça).

Je vous remercie d’avance.

#2

Pour les hash MD5, cela signifie que tes fichiers /bin/mktemp et /usr/sbin/adduser ont été modifiés par rapport à ceux d’origine. Les causes peuvent être multiples : virus, rootkit, administrateur, corruption du système de fichiers, etc.
Pour en être sûr tu peux vérifier également les hash MD5 avec l’outil debsums.

Pour les services imap2, imaps et ident, tu peux les désactiver si tu ne t’en sers pas.

#3

Merci de ta réponse.
Donc, j’ai installé debsums. J’ai lancé les commandes suivantes :

debsums mktemp
debsums adduser

Tous semble est ok. Fausse alarme?

Pour les services, j’utilise imap! Par contre, je ne sais pas trop à quoi correspond le service ident (service d’identification?).

#4

Tu utilises un serveur IMAP ?

Sinon pour ident : en.wikipedia.org/wiki/Identd

#5

Oui, j’ai un serveur de mail complet (smtp/pop/imap/webmail).

Je n’ai pas de processus ident lancé (peut être suite au reboot??). Et on plus, comment l’arrêter s’il se lance? car je n’ai pas de /etc/init.d/identd ou quelque chose de ce genre.