Le Samedi 15 Janvier 2005 12:31, Michel Petit a écrit : > Julien Valroff a écrit : > > Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit : > >>Julien Valroff a écrit : > >>>Bonjour la liste ! > >> > >>Bonjour, > > ... > > >>La solution que j'ai retenue pour ça, est d'avoir un fichier de > >>"référence". Je m'explique : je lance chkrootkit en redirigeant ses > >> sorties dans ce fichier, ensuite je vérifie, s'il y a des alertes, que > >> ce ne sont pas des vraies, puis finalement dans ma cron, je lance le > >> chkrootkit et ne génère une alarme que si la sortie est différente de la > >> "référence". S'il y a lieu, je met à jour mon fichier de référence. > > > > Merci ! > > > > Intéressant en effet, ça me semble une solution plus que satisfaisante ! > > Concrètement, comment vérifie tu cette référence ? En passant par un > > fichier temporaire à chaque lancement de chkrootkit, puis en faisant un > > hash md5 et en comparant les sommes des 2 fichiers ? > > Tu trouveras ci-joint le script et le fichier de référence. > Le fichier de référence est généré par un 'chkrootkit -q' lancé à la main. > Le script tourne en cron (toutes les heures). > S'il génère une sortie je recois un mail (via cron), mais le script > pourrait envoyer lui-même le mail (mais j'ai la flemme ;) ). > > > Merci de m'en dire un peu plus, je ne suis pas un as de ce genre > > d'acrobaties ;-) > > Comme tu le vois peu d'acrobatie (enfin à mon goût). > @+.
Moins que je n'aurais pensé en effet ! J'avais oublié l'existence de ce sympathique outil qu'est diff :o) Pourquoi faire simple quand... ?!? Je vais mettre cela en place. Merci encore pour ton aide. Bon dimanche Julien
