Rkhunter
est un logiciel qui trouve des rootkits sur un serveur Linux. Les rootkits sont installés par des pirates afin qu'ils puissent toujours accéder au serveur. Dans ce document, vous pourrez voir comment vous pouvez empêcher les rootkits d'utiliser rkhunter
sur Ubuntu.
Étape 1: installation des prérequis
Nous devons installer un certain nombre de conditions préalables pour utiliser correctement rkhunter
:
apt-get install binutils libreadline5 libruby ruby ruby ssl-cert unhide.rb mailutils
Une fois l'installation terminée, vous pouvez passer à l'étape suivante.
Étape 2: installation rkhunter
Nous allons télécharger rkhunter
en utilisant wget
. Si wget
n'a pas encore été installé sur votre système, exécutez:
apt-get install wget
Téléchargez maintenant rkhunter
:
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
Décompressez le téléchargement:
tar xzvf rkhunter*
Accédez au rkhunter
répertoire:
cd rkhunter*
Installer rkhunter
:
./installer.sh --layout /usr --install
La sortie d'installation doit être similaire à ceci:
Checking system for:
Rootkit Hunter installer files: found
A web file download command: wget found
Starting installation:
Checking installation directory "/usr": it exists and is writable.
Checking installation directories:
Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
Directory /usr/share/man/man8: exists and is writable.
Directory /etc: exists and is writable.
Directory /usr/bin: exists and is writable.
Directory /usr/lib: exists and is writable.
Directory /var/lib: exists and is writable.
Directory /usr/lib/rkhunter/scripts: creating: OK
Directory /var/lib/rkhunter/db: creating: OK
Directory /var/lib/rkhunter/tmp: creating: OK
Directory /var/lib/rkhunter/db/i18n: creating: OK
Directory /var/lib/rkhunter/db/signatures: creating: OK
Installing check_modules.pl: OK
Installing filehashsha.pl: OK
Installing stat.pl: OK
Installing readlink.sh: OK
Installing backdoorports.dat: OK
Installing mirrors.dat: OK
Installing programs_bad.dat: OK
Installing suspscan.dat: OK
Installing rkhunter.8: OK
Installing ACKNOWLEDGMENTS: OK
Installing CHANGELOG: OK
Installing FAQ: OK
Installing LICENSE: OK
Installing README: OK
Installing language support files: OK
Installing ClamAV signatures: OK
Installing rkhunter: OK
Installing rkhunter.conf: OK
Installation complete
Étape 3: utilisation rkhunter
Les fichiers de données conservent des informations sur les menaces possibles.
La mise à jour régulière de vos fichiers de données est nécessaire pour un système à jour. Vous pouvez les mettre à jour en utilisant la rkhunter
commande:
rkhunter --update
Cela produira une liste avec les fichiers de données qui ont été mis à jour et ceux qui n'ont pas été mis à jour:
[ Rootkit Hunter version 1.4.2 ]
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ Updated ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
Nous sommes maintenant prêts à effectuer notre premier test. Le test recherchera les rootkits connus et les problèmes de sécurité génériques (tels que l'accès root via SSH) et enregistrera ses résultats. Vous devrez manuellement appuyer sur "Entrée" pour continuer après les vérifications.
Après le test, nous pouvons voir des erreurs et des avertissements:
cat /var/log/rkhunter.log
Étape 4: activation des notifications par e-mail
Rkhunter
peut être configuré pour envoyer un e-mail lorsqu'une menace est détectée. Pour configurer cette fonctionnalité, commencez par ouvrir le rkhunter.conf
fichier:
vi /etc/rkhunter.conf
Recherchez MAIL-ON-WARNING
, puis ajoutez une adresse e-mail.
Vous pouvez éventuellement faire défiler la configuration pour plus d'options, cependant, par défaut, cela devrait fonctionner correctement. Vous pouvez vérifier votre fichier de configuration:
rkhunter -C
S'il n'y a pas de sortie, votre fichier de configuration est valide.