/etc/rsyslog.conf へ、syslogをリモートサーバへ転送しようと設定を追加したところ、rkhunterで警告が検知された。
転送設定は以下のもの。
# remote test
*.* @@remote.rsyslog.local
警告は以下のもの。
Error: Invalid display - keyword cannot be found: Display line: display --to LOG --type WARNING SYSTEM_CONFIGS_SYSLOG_REMOTE_FOUND rsyslog *.* @@remote.rsyslog.local
/var/log/rkhunter.log の関係ありそうな部分は、以下の通り。
[00:00:04] Checking for a running system logging daemon [ Found ] [00:00:04] Info: Found rsyslog /etc/rsyslog.conf configuration file: [00:00:04] Info: The '*.* @@remote.rsyslog.local' configuration file allows remote logging: [00:00:05] Checking for a system logging configuration file [ Found ] [00:00:05] Checking if syslog remote logging is allowed [ Warning ]
/etc/rkhunter.conf の設定を以下のように変更すると、警告が出なくなる。
# # This option permits the use of syslog remote logging. # ALLOW_SYSLOG_REMOTE_LOGGING=0 ↓ ALLOW_SYSLOG_REMOTE_LOGGING=1
設定後は、以下を実行。実行しないと「/etc/rkhunter.conf」のハッシュ値が変わった旨の警告が出る。
# rkhunter --propupd