Rkhunter
là phần mềm tìm rootkit trên máy chủ Linux. Rootkit được cài đặt bởi tin tặc để họ luôn có thể truy cập máy chủ. Trong tài liệu này, bạn sẽ có thể thấy cách bạn có thể ngăn chặn rootkit bằng rkhunter
Ubuntu.
Bước 1: Cài đặt các điều kiện tiên quyết
Chúng ta cần cài đặt một số điều kiện tiên quyết để sử dụng đúng cách rkhunter
:
apt-get install binutils libreadline5 libruby ruby ruby ssl-cert unhide.rb mailutils
Sau khi cài đặt kết thúc, bạn có thể tiến hành bước tiếp theo.
Bước 2: Cài đặt rkhunter
Chúng tôi sẽ tải xuống rkhunter
bằng cách sử dụng wget
. Nếu wget
chưa được cài đặt trên hệ thống của bạn, hãy thực hiện:
apt-get install wget
Bây giờ tải xuống rkhunter
:
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
Bỏ tải xuống:
tar xzvf rkhunter*
Điều hướng đến rkhunter
thư mục:
cd rkhunter*
Cài đặt rkhunter
:
./installer.sh --layout /usr --install
Đầu ra cài đặt phải tương tự như sau:
Checking system for:
Rootkit Hunter installer files: found
A web file download command: wget found
Starting installation:
Checking installation directory "/usr": it exists and is writable.
Checking installation directories:
Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
Directory /usr/share/man/man8: exists and is writable.
Directory /etc: exists and is writable.
Directory /usr/bin: exists and is writable.
Directory /usr/lib: exists and is writable.
Directory /var/lib: exists and is writable.
Directory /usr/lib/rkhunter/scripts: creating: OK
Directory /var/lib/rkhunter/db: creating: OK
Directory /var/lib/rkhunter/tmp: creating: OK
Directory /var/lib/rkhunter/db/i18n: creating: OK
Directory /var/lib/rkhunter/db/signatures: creating: OK
Installing check_modules.pl: OK
Installing filehashsha.pl: OK
Installing stat.pl: OK
Installing readlink.sh: OK
Installing backdoorports.dat: OK
Installing mirrors.dat: OK
Installing programs_bad.dat: OK
Installing suspscan.dat: OK
Installing rkhunter.8: OK
Installing ACKNOWLEDGMENTS: OK
Installing CHANGELOG: OK
Installing FAQ: OK
Installing LICENSE: OK
Installing README: OK
Installing language support files: OK
Installing ClamAV signatures: OK
Installing rkhunter: OK
Installing rkhunter.conf: OK
Installation complete
Bước 3: Sử dụng rkhunter
Các tệp dữ liệu giữ thông tin về các mối đe dọa có thể.
Cập nhật thường xuyên các tệp dữ liệu của bạn là cần thiết cho một hệ thống cập nhật. Bạn có thể cập nhật chúng bằng rkhunter
lệnh:
rkhunter --update
Điều này sẽ xuất ra một danh sách với các tệp dữ liệu đã được cập nhật và những tệp không được cập nhật:
[ Rootkit Hunter version 1.4.2 ]
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ Updated ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
Bây giờ chúng tôi đã sẵn sàng để thực hiện thử nghiệm đầu tiên của chúng tôi. Thử nghiệm sẽ tìm kiếm các rootkit đã biết và các vấn đề bảo mật chung (như quyền truy cập root qua SSH) và ghi lại các phát hiện của nó. Theo cách thủ công, bạn cần nhấn "Enter" để tiếp tục sau khi kiểm tra.
Sau khi kiểm tra, chúng tôi có thể thấy lỗi và cảnh báo:
cat /var/log/rkhunter.log
Bước 4: Kích hoạt thông báo email
Rkhunter
có thể được cấu hình để gửi email khi tìm thấy mối đe dọa. Để định cấu hình tính năng này, hãy bắt đầu bằng cách mở rkhunter.conf
tệp:
vi /etc/rkhunter.conf
Tìm kiếm MAIL-ON-WARNING
, sau đó thêm một địa chỉ email.
Bạn có thể tùy ý cuộn qua cấu hình để có thêm tùy chọn, tuy nhiên, theo mặc định, nó sẽ hoạt động tốt. Bạn có thể kiểm tra tập tin cấu hình của bạn:
rkhunter -C
Nếu không có đầu ra, tập tin cấu hình của bạn là hợp lệ.