rkhunter

Ой, вы знаете, если бороться со всем что пишет rkhunter, то никаких сил не хватит. Не стоит принимать его сообщения близко к сердцу, лучше запишите куда-нибудь md5-суммы содержимого /bin/* /sbin/* /etc/rc.d/* и прочего важного и периодически сверяйте их с помощью самостоятельно написанного скриптика. Это поможет вам избежать множество головной боли. А слепо доверять rkhunter, chkrootkit и прочему безобразию не стоит, только нервы ваши испортите совсем.

>Что реально значит верхнее сообщение, и как с этим бороться.

Похоже, у разработчиков rkhunter и твоего дистра кардинально расходятся представления о том, что можно и что нельзя писать в init-скриптах. Скорее всего, ничего страшного, но лучше все-таки покажи вывод
grep -C5 hdparm /etc/rc.d/init.d/bootlogd /etc/rc.d/rc.sysinit

А также Checking for kernel symbol 'hide_module' [ Found ]

А вот это уже внушает опасения.

/etc/rc.d/init.d/bootlogd-#! /bin/sh

/etc/rc.d/init.d/bootlogd-### BEGIN INIT INFO

/etc/rc.d/init.d/bootlogd-# chkconfig: - 01 99

/etc/rc.d/init.d/bootlogd-# Provides: bootlogd

/etc/rc.d/init.d/bootlogd-# Required-Start: mountdevsubfs

/etc/rc.d/init.d/bootlogd:# X-Start-Before: hostname keymap keyboard-setup procps pcmcia hwclock hwclockfirst hdparm hibernate-cleanup lvm2

/etc/rc.d/init.d/bootlogd-# Required-Stop:

/etc/rc.d/init.d/bootlogd-# Default-Start: S

/etc/rc.d/init.d/bootlogd-# Default-Stop:

/etc/rc.d/init.d/bootlogd-# Short-Description: Start or stop bootlogd.

/etc/rc.d/init.d/bootlogd-# Description: Starts or stops the bootlogd log program

-- /etc/rc.d/rc.sysinit-fi #SPEEDBOOT

/etc/rc.d/rc.sysinit-

/etc/rc.d/rc.sysinit-(

/etc/rc.d/rc.sysinit-# Turn on harddisk optimization

/etc/rc.d/rc.sysinit-# There is only one file /etc/sysconfig/harddisks for all disks

/etc/rc.d/rc.sysinit:# after installing the hdparm-RPM. If you need different hdparm parameters

/etc/rc.d/rc.sysinit-# for each of your disks, copy /etc/sysconfig/harddisks to

/etc/rc.d/rc.sysinit-# /etc/sysconfig/harddiskhda (hdb, hdc...) and modify it.

/etc/rc.d/rc.sysinit-# Each disk which has no special parameters will use the defaults.

/etc/rc.d/rc.sysinit-# Each non-disk which has no special parameters will be ignored.

/etc/rc.d/rc.sysinit-#

-- /etc/rc.d/rc.sysinit-disk[33]=scd0; disk[34]=scd1; disk[35]=scd2; disk[36]=scd3;

/etc/rc.d/rc.sysinit-disk[37]=sg0; disk[38]=sg1; disk[39]=sg2; disk[40]=sg3;

/etc/rc.d/rc.sysinit-

/etc/rc.d/rc.sysinit-

/etc/rc.d/rc.sysinit-# Skip hard disks optimization if software RAID arrays are currently

/etc/rc.d/rc.sysinit:# resyncing and disks heavily active, because hdparm might hang and

/etc/rc.d/rc.sysinit-# lock system startup in such situation /etc/rc.d/rc.sysinit-

/etc/rc.d/rc.sysinit-if [ ! -f /proc/mdstat ] || ! /bin/egrep -qi «re(cover|sync)|syncing» /proc/mdstat; then

/etc/rc.d/rc.sysinit: if [ -x /sbin/hdparm ]; then

/etc/rc.d/rc.sysinit- for device in {0..40}; do

/etc/rc.d/rc.sysinit-    unset MULTIPLE_IO USE_DMA EIDE_32BIT LOOKAHEAD EXTRA_PARAMS

/etc/rc.d/rc.sysinit- if [ -f /etc/sysconfig /harddisk${disk[$device]} ]; then

/etc/rc.d/rc.sysinit- . /etc/sysconfig /harddisk${disk[$device]}

/etc/rc.d/rc.sysinit- HDFLAGS[$device]=

-- /etc/rc.d/rc.sysinit-         hdmedia=`cat /sys/block /${disk[$device]}/device/vendor`

/etc/rc.d/rc.sysinit-      fi

/etc/rc.d/rc.sysinit- if [ «$hdmedia» = «disk» -o «$vendor» = «ATA» -o -f «/etc/sysconfig/harddisk${disk[$device]}» ]; then

/etc/rc.d/rc.sysinit- if [ -n «${HDFLAGS[$device]}» ]; then

/etc/rc.d/rc.sysinit- sleep 2

/etc/rc.d/rc.sysinit: action «Setting hard drive parameters for %s: » ${disk[$device]} /sbin/hdparm ${HDFLAGS[$device]} /dev/${disk[$device]}

/etc/rc.d/rc.sysinit- fi

/etc/rc.d/rc.sysinit- fi

/etc/rc.d/rc.sysinit- fi

/etc/rc.d/rc.sysinit- done

/etc/rc.d/rc.sysinit- fi

Насчёт вот этого

А также Checking for kernel symbol 'hide_module' [ Found ]
А вот это уже внушает опасения.

Ща поясню ситуацию, это сообщение появляется когда я загружаю СВОЙ МОДУЛЬ. Модуль представляет собой лично мной написанные фаервол (хотелосьбы из него ядерный антивирь сделать). Вот мне и не понятно, когда я его гружу, rkhunter его определяет как интоксонию, а определяет он это из-за этого: Checking for kernel symbol 'hide_module' ... И вот я сижу и думаю, как так?. У меня в модуле есть функция hide_module? и что? теперь каждый кто установит мой модуль и будет проверять систему rkhunter, будет думать что установил «IntoXonia-NG Rootkit» Собственно, есть ли идеи? почему появляется в rkhunter данное сообщение «Checking for kernel symbol 'hide_module' »

В init-скриптах, на мой взгляд, все чисто.

Модуль представляет собой лично мной написанные фаервол

А смысл? В линуксе сейчас, пожалуй, самый универсальный и гибкий фаервол из всех существующих.

У меня в модуле есть функция hide_module? и что?

Я полагаю, не стоит в нормальный модуль такую функцию совать.
Вот руткит будешь писать — тогда другое дело ;)

Тогда ещё спрошу. Checking for kernel symbol 'hide_module'

Тоесть когда я даю названия функциям, компилирую модуль. Загружаю его в систему, то где-то регистрируются названия функций модуля?

Вот это уже не ко мне вопрос. Я не программист, всего лишь админ, да и то в довольно узкой области.

Если админ это замечательно, тогда можешь пояснить порядок своих действий, еслиб после проверки системы, rkh выдал бы Checking for kernel symbol 'hide_module'

Токачато переименовал функцию в своём модуле..и теперь rk не ругается.

>Если админ это замечательно, тогда можешь пояснить порядок своих действий, еслиб после проверки системы, rkh выдал бы Checking for kernel symbol 'hide_module'

Выдернул бы кабель питания и унес винчестер на дальнейшее исследование.