<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: times new roman,new york,times,serif; font-size: 12pt; color: #000000'>Hi Anthony,<br><br>I would start off by seeing what files the PID is opening to make sure it is truly being good:<br><br>#lsof -p 1513<br><br><p>To avoid these warnings, you can reconfigure rkhunter to ignore these false positives by editing the rkhunter.conf file:</p><p><code>vi /etc/rkhunter.conf.</code></p><br><pre class="file">RTKT_FILE_WHITELIST="/var/log/pki-ca/system"<br><br>Hope this helps.<br></pre><br><br><br><div><span name="x"></span><font size="4"><span style="font-family: verdana,helvetica,sans-serif; font-weight: bold;">Norman "Mark" St. Laurent</span></font><br><span style="font-family: verdana,helvetica,sans-serif;">Federal Team: Senior Solutions Architect</span><br style="font-family: verdana,helvetica,sans-serif;"><span style="font-family: verdana,helvetica,sans-serif;">Red Hat</span><br style="font-family: verdana,helvetica,sans-serif;"><span style="font-family: verdana,helvetica,sans-serif;">8260 Greensboro Drive, Suite 300</span><br style="font-family: verdana,helvetica,sans-serif;"><span style="font-family: verdana,helvetica,sans-serif;">McLean VA, 22102</span><br style="font-family: verdana,helvetica,sans-serif;"><font style="font-weight: bold;" size="2"><span style="font-family: verdana,helvetica,sans-serif;">Email:  msl@redhat.com</span><br style="font-family: verdana,helvetica,sans-serif;"><span style="font-family: verdana,helvetica,sans-serif;">Cell:  703.772.1434<br><br>Check this Link out!!!  Cool Stuff:  http://mil-oss.org/<br></span></font><span name="x"></span><br></div><hr id="zwchr"><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;"><b>From: </b>"Anthony Messina" <amessina@messinet.com><br><b>To: </b>freeipa-users@redhat.com<br><b>Sent: </b>Friday, August 17, 2012 2:42:07 PM<br><b>Subject: </b>Re: [Freeipa-users] FreeIPA, rkhunter & "unknown rootkit"<br><br>On Monday, July 23, 2012 04:08:25 AM Anthony Messina wrote:<br>> I have installed freeipa-server-2.2.0-1.fc17.x86_64 and it's running<br>> well.  I have also installed rkhunter-1.4.0-1.fc17.noarch on the IPA<br>> server and each morning I receive the following report from rkhunter.<br>> <br>> I imagine/hope that these are not actual rootkits and was wondering if<br>> anyone knew of a way to inform rkhunter/rkhunter.conf to "never mind"<br>> these as they seem like they would be a normal part of the IPA/CA process.<br>> <br>> By the way, UID 995 is the pkiuser on my IPA system.<br>> <br>> Thanks for any input. -A<br>> <br>> <br>> rkhunter warning output follows:<br>> <br>> Warning: The following processes are using suspicious files:<br>>          Command: java<br>>            UID: 995    PID: 1513<br>>            Pathname: /var/log/pki-ca/system<br>>            Possible Rootkit: Unknown rootkit<br>>          Command: java<br>>            UID: 1518    PID: 1513<br>>            Pathname: 14287633<br>>            Possible Rootkit: Unknown rootkit<br><br>Is anyone able to offer some insight on this one?  Perhaps there is some way <br>to undate the rkhunter configuration to 'allow' this behavior, if it's <br>intended.  Thanks.  -A<br><br>-- <br>Anthony - http://messinet.com - http://messinet.com/~amessina/gallery<br>8F89 5E72 8DF0 BCF0 10BE 9967 92DC 35DC B001 4A4E<br><br>_______________________________________________<br>Freeipa-users mailing list<br>Freeipa-users@redhat.com<br>https://www.redhat.com/mailman/listinfo/freeipa-users</div><br></div></body></html>