---
date: 2017-07-24T17:21:10+02:00
description: "Comment résoudre l'avis de détection par rkhunter : Warning: File has the immutable-bit set"
draft: false
tags: ['rkhunter','detection','immutable']
title: "Rkhunter : Warning: File has the immutable-bit set"
---

## Description

Rkhunter émet cet avis : <br>
<q>Warning: File '/sbin/xyz' has the immutable-bit set.</q> 
<br> et, il le fait sur plusieurs fichiers !

Ahahhh, petit malin, je vous y prend, vous avez utilisez l'{{< inside "sec:linux:chattr" "outil chattr avec l'option `-I`" >}}, 
n'est-ce pas ?! <br>
Tant mieux… sinon, vous avez peut-être un petit problème !

## Configuration

Le fichier de configuration `/etc/rkhunter.conf` renferme une option 
à-priori utile : `IMMUTABLE_SET=0` ! 

Sauf qu'une fois activée, lors d'une vérification, ce sont les quelques binaires 
qui ne peuvent avoir l'option `immutable`, qui vont recevoir ladite complainte.

<q>C'est un peu l'histoire du serpent qui se mort la queue</q>, n'est-ce pas !

Puisque vous utilisez l'option `I` du binaire `chattr`, modifiez le fichier 
`crontab` relatif à rkhunter…

Le fichier `/etc/default/rkhunter` nous informe de ceci : <br>
`$ cat /etc/default/rkhunter` <br>
`# Defaults for rkhunter automatic tasks` <br>
`# sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter` <br>
`#` <br>
`# This is a POSIX shell fragment` <br>
`#` <br>
`(…)` <br>

Nous savons que lors de l'installation, il se crée un fichier de cron, 
dans `/etc/crond.daily/rkhunter` - *vérifiez votre cas* - ouvrons-le pour 
le modifier ainsi :

{{< file "sec-scan-rkhunter-immutable-bit-set-cron-daily" sh "/etc/crond.daily/rkhunter" >}}

Résultat, lors de la future vérification planifiée de l'outil rkhunter, 
il exécutera votre script lié à l'usage de chattr… en désactivant d'abord, 
l'option `immutable`, puis fera son boulot, et pour finir réactivera l'option.

Si c'est vous qui l'exécutez, pensez d'abord à désactiver… puis à réactiver votre protection !

---