/var/log/rkhunter.log existiert nicht oder ist leer

[Michael83]

Ich habe dazu gerade ein Ticket eröffnet.

[ZooL]

Anpassungen für rkhunter und chkrootkit

Der Grund ist schnell gefunden: die icpCP-GUI hat keine Zugriffsrechte auf die Logfiles, da diese (scheinbar nicht immer?) nur mit den Dateirechten 600 angelegt werden. Aktualisiert werden die Logs alle 12h durch zwei entsprechende Aufrufe in der Datei /etc/cron.d/ispcp - dort eingetragene cron-Jobs werden nicht per crontab -l ausgegeben. Da man auf diese Weise die Dateirechte der Logs schlecht ändern kann, liegt eine andere Lösung auf der Hand: die Auslagerung des Aufrufs inklusive der Änderung der Dateirechte in einer separaten Datei. Hierzu legte ich mit den Zugriffsrechten 700 die Datei /root/rk_tools.sh an:

Code:

#!/bin/bash
/usr/bin/rkhunter --cronjob --createlogfile /var/log/rkhunter.log >/dev/null 2>&1
/usr/sbin/chkrootkit &> /var/log/chkrootkit.log
chmod +r /var/log/chkrootkit.org
chmod +r /var/log/rkhunter.log

In der Datei /etc/cron.d/ispcp löscht man einen der Rootkit-Tool-Einträge und ändert den anderen auf die Datei /root/rk_tools.sh. Von jetzt an funktioniert auch die Logfileanzeige innerhalb von ispCP.


mfg

[joximu]

Nur für's Protokoll:
Dies betrifft rkhunter >= 1.3.0
(Debian: ab Lenny)

Auszug aus Changelog, 1.3.0, changes:

Quote: - The log file is now created by default, it can be disabled in the config
file or by using the --nolog command line option. The log file is created
with permissions 600.

im Code (v1.3.4) steht dann auch das drin:

Code:

if [ $NOLOG -eq 0 ]; then
if [ $APPEND_LOG -eq 0 ]; then
  mv -f ${RKHLOGFILE} ${RKHLOGFILE}.old >/dev/null 2>&1
  touch ${RKHLOGFILE} >/dev/null 2>&1
  chmod 600 ${RKHLOGFILE} >/dev/null 2>&1
else
  echo "" >>${RKHLOGFILE}
  echo "" >>${RKHLOGFILE}
fi
fi

/J

[Nuxwin]

Hi ;

Easy solution :

First, remove existant files :

Code:

# rm /var/log/rkhunter.log /var/log/rkhunter.log.old

After, change your /etc/cron.d/ispcp file :

Code:

0 */12 * * * root rkhunter --cronjob --createlogfile /var/log/rkhunter.log >/dev/null 2>&1

to:

Code:

0 */12 * * * root rkhunter --cronjob --createlogfile /var/log/rkhunter.log.root --display-logfile 1> /var/log/rkhunter.log 2>/dev/null

Note : In the same line !

Note : Tested on Debian Lenny

[BeNe]

@nuxwin
Thanks for it - can you please add this to the current trunk a close the ticket http://www.isp-control.net/ispcp/ticket/1725 ?
I already saw that you changed the owner to yourself

Really thanks for you great work here again.

Greez BeNe

[Nuxwin]

(07-30-2009 04:26 PM)BeNe Wrote:  @nuxwin
...
I already saw that you changed the owner to yourself

Oups...

(07-30-2009 04:26 PM)BeNe Wrote:  Thanks for it - can you please add this to the current trunk a close the ticket http://www.isp-control.net/ispcp/ticket/1725 ?

yes, we can

[Rafioso]

Hi,

ich habe das was hier steht schon probiert und es geht auch nach der Änderung immer 1-2 Tage, doch dann kommt irgendwann wieder die Meldung "/var/log/rkhunter.log existiert nicht oder ist leer". Wieso?

Laut "ls -l" wurde die Datei zuletzt heute um 12 Uhr bearbeitet und die ist auch nicht leer!
Es gibt übrigens auch noch: rkhunter.log.old, rkhunter.log.root, rkhunter.log.root.old.
Alle Dateien haben Benutzer und Gruppe root.

[ZooL]

vieleicht denkst du mal über das stichwort CRON nach und schaust mal in die richtung.

mfg

[Rafioso]

Was soll ich da schauen? Standardmäßig war der Cron ja in der Cron-Datei eingefügt. Diesen habe ich dann, wie in dem Thread hier steht, bearbeitet, hat aber nichts gebracht (Post #14).

[joximu]

mach mal ein "ls -la /var/log/rkhunt*" - damit wir auch die Permissions sehen.

/J