要让 rkhunter 每天自动扫描并真正发告警,需绕过 --cronjob 的无效设计,改用 rkhunter --check --report-warnings-only --quiet 输出关键告警行,重定向后用 grep -q "warning|alert" 判断异常,再通过 mail 或 logger 主动通知;同时必须前置执行 rkhunter --update 确保检测有效性。
怎么让 rkhunter 每天自动扫描并真正发告警
rkhunter 默认不发邮件,也不写日志到 syslog,所谓“自动扫描”只是 cron 跑完就丢结果。要让它真报警,得手动接管输出和判断逻辑。
关键不是加 cron,而是加判断:扫描是否异常、有没有 Warning 或 Alert 字样。别信 --cronjob 参数——它只改了输出格式,不触发任何通知。
- 用
rkhunter --check --report-warnings-only --quiet减少噪音,只留问题行 - 把输出重定向到临时文件,再用
grep -q "Warning\|Alert"判断是否需告警 - 告警建议走
mail或logger,别依赖sendmail配置(很多新系统没装) - 注意
rkhunter --update必须提前跑,否则扫描可能跳过关键检测项
chkrootkit 扫描结果为什么总显示 “not found” 却没报错
这是路径问题。chkrootkit 默认只查 /usr/sbin、/sbin 等固定路径,而现代发行版(如 Ubuntu 22.04+)把很多工具放在 /usr/bin 或 /bin,它压根不扫。
更麻烦的是:chkrootkit 没有全局路径开关,只能靠 -p 参数硬指定。漏掉一个路径,就可能漏掉 rootkit 的隐藏二进制。
- 运行时必须显式加
chkrootkit -p "/usr/bin:/bin:/usr/sbin:/sbin:/opt/bin" - 别用
which或command -v动态拼路径——cron 环境下 PATH 很窄,容易失效 -
chkrootkit不支持静默模式,所有输出都得靠grep过滤,推荐用2>&1 | grep -E "(INFECTED|Warning)" - 它的
strings检测依赖系统自带版本,某些精简镜像里没有,会直接跳过,但不报错
lynis 扫描后怎么提取高危项并过滤误报
lynis 输出太全,一次扫描几百行,真正要盯的是 [warning] 和 [suggestion] 里的高风险项,比如 authentication weak、ssh PermitRootLogin yes。但它不会自动分级,得自己筛。
重点不是看分数,是看具体哪条测试失败。而且 lynis 的 --quick 模式会跳过部分深度检查,日常巡检反而不如默认模式可靠。
- 用
lynis audit system --no-color --quiet 2>/dev/null | grep -E "\[warning\]|\[suggestion\]"抓关键行 - 对已知误报(如某些云主机的
SELinux disabled),用grep -v "SELinux disabled"过滤,别改 lynis 配置文件——升级后会被覆盖 - 它的日志默认存在
/var/log/lynis.log,但权限是600,cron 下普通用户读不到,建议加--write-log /tmp/lynis-last.log - 别用
--cronjob,它强制清空上次日志,没法做趋势比对
三个工具告警怎么合并避免重复轰炸
各自 cron 时间没错开、输出没归一化,就会同一分钟收三封内容高度重复的邮件,比如都报 SSH config issue。这不是功能问题,是管道没接好。
核心思路:统一入口脚本 + 共享状态判断 + 单次汇总发送。不要让每个工具独立决定“要不要发邮件”。
- 写一个主脚本,依次调用
rkhunter、chkrootkit、lynis,每步结果存进数组或临时文件 - 用
if [ -n "$alerts" ]统一判断是否触发告警,而不是每个工具内部if grep - 邮件主题加时间戳和主机名,比如
[SEC] alert-$(hostname)-$(date +\%F),方便运维归类 - 临时文件记得用
mktemp创建,别写死/tmp/alerts.txt——并发扫描时会冲突
最常被忽略的是权限和环境变量。cron 默认 PATH 极短,mail、grep、甚至 bash 都可能找不到。要么全路径写死(/usr/bin/mail),要么在 crontab 里显式声明 PATH=/usr/local/bin:/usr/bin:/bin。
