Rkhunter
es un software que encuentra rootkits en un servidor Linux. Los piratas informáticos instalan rootkits para que siempre puedan acceder al servidor. En este documento, podrá ver cómo puede evitar el uso de rootkits rkhunter
en Ubuntu.
Paso 1: instalación de requisitos previos
Necesitamos instalar una serie de requisitos previos para usar correctamente rkhunter
:
apt-get install binutils libreadline5 libruby ruby ruby ssl-cert unhide.rb mailutils
Una vez que finalice la instalación, puede continuar con el siguiente paso.
Paso 2: instalación rkhunter
Lo descargaremos rkhunter
usando wget
. Si wget
aún no se ha instalado en su sistema, ejecute:
apt-get install wget
Ahora descargue rkhunter
:
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
Untar la descarga:
tar xzvf rkhunter*
Navegue al rkhunter
directorio:
cd rkhunter*
Instalar rkhunter
:
./installer.sh --layout /usr --install
El resultado de la instalación debe ser similar a esto:
Checking system for:
Rootkit Hunter installer files: found
A web file download command: wget found
Starting installation:
Checking installation directory "/usr": it exists and is writable.
Checking installation directories:
Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
Directory /usr/share/man/man8: exists and is writable.
Directory /etc: exists and is writable.
Directory /usr/bin: exists and is writable.
Directory /usr/lib: exists and is writable.
Directory /var/lib: exists and is writable.
Directory /usr/lib/rkhunter/scripts: creating: OK
Directory /var/lib/rkhunter/db: creating: OK
Directory /var/lib/rkhunter/tmp: creating: OK
Directory /var/lib/rkhunter/db/i18n: creating: OK
Directory /var/lib/rkhunter/db/signatures: creating: OK
Installing check_modules.pl: OK
Installing filehashsha.pl: OK
Installing stat.pl: OK
Installing readlink.sh: OK
Installing backdoorports.dat: OK
Installing mirrors.dat: OK
Installing programs_bad.dat: OK
Installing suspscan.dat: OK
Installing rkhunter.8: OK
Installing ACKNOWLEDGMENTS: OK
Installing CHANGELOG: OK
Installing FAQ: OK
Installing LICENSE: OK
Installing README: OK
Installing language support files: OK
Installing ClamAV signatures: OK
Installing rkhunter: OK
Installing rkhunter.conf: OK
Installation complete
Paso 3: uso rkhunter
Los archivos de datos mantienen información sobre posibles amenazas.
La actualización periódica de sus archivos de datos es necesaria para un sistema actualizado. Puedes actualizarlos usando el rkhunter
comando:
rkhunter --update
Esto generará una lista con los archivos de datos que se actualizaron y los que no se actualizaron:
[ Rootkit Hunter version 1.4.2 ]
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ Updated ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
Ahora estamos listos para realizar nuestra primera prueba. La prueba buscará rootkits conocidos y problemas de seguridad genéricos (como el acceso root a través de SSH) y registrará sus hallazgos. Deberá presionar manualmente "Enter" para continuar después de las verificaciones.
Después de la prueba, podemos ver errores y advertencias:
cat /var/log/rkhunter.log
Paso 4: Habilitar notificaciones por correo electrónico
Rkhunter
se puede configurar para enviar un correo electrónico cuando se encuentra una amenaza. Para configurar esta función, comience abriendo el rkhunter.conf
archivo:
vi /etc/rkhunter.conf
Busque MAIL-ON-WARNING
y luego agregue una dirección de correo electrónico.
Opcionalmente, puede desplazarse por la configuración para obtener más opciones, sin embargo, de manera predeterminada, debería funcionar bien. Puede verificar su archivo de configuración:
rkhunter -C
Si no hay salida, su archivo de configuración es válido.