---
date: 2017-07-24T17:21:10+02:00
description: "Comment résoudre l'avis de détection par rkhunter : Warning: File has the immutable-bit set"
draft: false
tags: ['rkhunter','detection','immutable']
title: "Rkhunter : Warning: File has the immutable-bit set"
---
## Description
Rkhunter émet cet avis :
Warning: File '/sbin/xyz' has the immutable-bit set.
et, il le fait sur plusieurs fichiers !
Ahahhh, petit malin, je vous y prend, vous avez utilisez l'{{< inside "sec:linux:chattr" "outil chattr avec l'option `-I`" >}},
n'est-ce pas ?!
Tant mieux… sinon, vous avez peut-être un petit problème !
## Configuration
Le fichier de configuration `/etc/rkhunter.conf` renferme une option
à-priori utile : `IMMUTABLE_SET=0` !
Sauf qu'une fois activée, lors d'une vérification, ce sont les quelques binaires
qui ne peuvent avoir l'option `immutable`, qui vont recevoir ladite complainte.
C'est un peu l'histoire du serpent qui se mort la queue
, n'est-ce pas !
Puisque vous utilisez l'option `I` du binaire `chattr`, modifiez le fichier
`crontab` relatif à rkhunter…
Le fichier `/etc/default/rkhunter` nous informe de ceci :
`$ cat /etc/default/rkhunter`
`# Defaults for rkhunter automatic tasks`
`# sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter`
`#`
`# This is a POSIX shell fragment`
`#`
`(…)`
Nous savons que lors de l'installation, il se crée un fichier de cron,
dans `/etc/crond.daily/rkhunter` - *vérifiez votre cas* - ouvrons-le pour
le modifier ainsi :
{{< file "sec-scan-rkhunter-immutable-bit-set-cron-daily" sh "/etc/crond.daily/rkhunter" >}}
Résultat, lors de la future vérification planifiée de l'outil rkhunter,
il exécutera votre script lié à l'usage de chattr… en désactivant d'abord,
l'option `immutable`, puis fera son boulot, et pour finir réactivera l'option.
Si c'est vous qui l'exécutez, pensez d'abord à désactiver… puis à réactiver votre protection !
---