Rkhunter
เป็นซอฟต์แวร์ที่ค้นหารูทคิทบนเซิร์ฟเวอร์ Linux รูทคิทติดตั้งโดยแฮกเกอร์เพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์ได้ตลอดเวลา ในเอกสารนี้คุณจะสามารถดูว่าคุณสามารถป้องกันรูทคิทที่ใช้rkhunter
บน Ubuntu ได้อย่างไร
ขั้นตอนที่ 1: การติดตั้งข้อกำหนดเบื้องต้น
เราจำเป็นต้องติดตั้งข้อกำหนดเบื้องต้นจำนวนหนึ่งเพื่อให้สามารถใช้งานได้อย่างถูกต้องrkhunter
:
apt-get install binutils libreadline5 libruby ruby ruby ssl-cert unhide.rb mailutils
เมื่อการติดตั้งเสร็จสิ้นคุณสามารถไปยังขั้นตอนถัดไปได้
ขั้นตอนที่ 2: การติดตั้ง rkhunter
เราจะดาวน์โหลดโดยใช้rkhunter
wget
หากwget
ยังไม่ได้ติดตั้งบนระบบของคุณให้รัน:
apt-get install wget
ดาวน์โหลดทันทีrkhunter
:
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
ยกเลิกการดาวน์โหลด:
tar xzvf rkhunter*
นำทางไปยังrkhunter
ไดเรกทอรี:
cd rkhunter*
ติดตั้งrkhunter
:
./installer.sh --layout /usr --install
ผลลัพธ์การติดตั้งควรคล้ายกับสิ่งนี้:
Checking system for:
Rootkit Hunter installer files: found
A web file download command: wget found
Starting installation:
Checking installation directory "/usr": it exists and is writable.
Checking installation directories:
Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
Directory /usr/share/man/man8: exists and is writable.
Directory /etc: exists and is writable.
Directory /usr/bin: exists and is writable.
Directory /usr/lib: exists and is writable.
Directory /var/lib: exists and is writable.
Directory /usr/lib/rkhunter/scripts: creating: OK
Directory /var/lib/rkhunter/db: creating: OK
Directory /var/lib/rkhunter/tmp: creating: OK
Directory /var/lib/rkhunter/db/i18n: creating: OK
Directory /var/lib/rkhunter/db/signatures: creating: OK
Installing check_modules.pl: OK
Installing filehashsha.pl: OK
Installing stat.pl: OK
Installing readlink.sh: OK
Installing backdoorports.dat: OK
Installing mirrors.dat: OK
Installing programs_bad.dat: OK
Installing suspscan.dat: OK
Installing rkhunter.8: OK
Installing ACKNOWLEDGMENTS: OK
Installing CHANGELOG: OK
Installing FAQ: OK
Installing LICENSE: OK
Installing README: OK
Installing language support files: OK
Installing ClamAV signatures: OK
Installing rkhunter: OK
Installing rkhunter.conf: OK
Installation complete
ขั้นตอนที่ 3: การใช้ rkhunter
ไฟล์ข้อมูลเก็บข้อมูลเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้น
การอัพเดทไฟล์ข้อมูลของคุณเป็นประจำเป็นสิ่งที่จำเป็นสำหรับระบบที่ทันสมัย คุณสามารถอัพเดตได้โดยใช้rkhunter
คำสั่ง:
rkhunter --update
นี่จะแสดงรายการด้วยไฟล์ข้อมูลที่ถูกอัพเดตและไฟล์ที่ไม่ได้อัปเดต:
[ Rootkit Hunter version 1.4.2 ]
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ Updated ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
ตอนนี้เราพร้อมที่จะทำการทดสอบครั้งแรกของเราแล้ว การทดสอบจะค้นหารูทคิทที่รู้จักและปัญหาด้านความปลอดภัยทั่วไป (เช่นการเข้าถึงรูทผ่าน SSH) และบันทึกการค้นพบ คุณจะต้องกด "Enter" เพื่อทำการตรวจสอบต่อไป
หลังจากการทดสอบเราจะเห็นข้อผิดพลาดและคำเตือน:
cat /var/log/rkhunter.log
ขั้นตอนที่ 4: เปิดใช้งานการแจ้งเตือนทางอีเมล
Rkhunter
สามารถกำหนดค่าให้ส่งอีเมลเมื่อพบภัยคุกคาม ในการกำหนดค่าคุณสมบัตินี้ให้เริ่มโดยการเปิดrkhunter.conf
ไฟล์:
vi /etc/rkhunter.conf
ค้นหาMAIL-ON-WARNING
จากนั้นเพิ่มที่อยู่อีเมล
คุณสามารถเลือกที่จะเลื่อนดูการกำหนดค่าสำหรับตัวเลือกเพิ่มเติมได้อย่างไรก็ตามตามค่าเริ่มต้นแล้วก็ควรใช้งานได้ดี คุณสามารถตรวจสอบไฟล์การกำหนดค่าของคุณ:
rkhunter -C
หากไม่มีผลลัพธ์ไฟล์กำหนดค่าของคุณจะถูกต้อง