セキュリティ

rkhunterのインストール Rootkit検知

| by

 

今回はRootkitを検知するrkhunterをインストールするTipsです。

Rootkitは不正侵入したサーバに、クラッカーがまず行うことはRootkitのインストール。Rootkitはバックドアやボットを設置、セキュリティを無効化するクラッキング用のツールがまとめられた一揃いの嫁入り道具です。

 

rkhunterはそのRootkitの痕跡を検知して教えてくれます。

何年も管理されていないサーバ、世の中にたくさんあります。管理されているサーバであっても不正侵入から気付くのは早くて100日以降と言われています。RootKit検知ツールによって異常を感知し、早期発見が被害を最小化します。

 

# yum install epel-release

# yum --enablerepo=epel install rkhunter

 

エラー対策

Warning: Checking for prerequisites [ Warning ]
Unable to find ‘file’ command – all script replacement checks will be skipped.
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option ‘PermitRootLogin’: no
Rkhunter configuration option ‘ALLOW_SSH_ROOT_USER’: unset

 

# vi /etc/rkhunter.conf


#ALLOW_SSH_ROOT_USER=no
ALLOW_SSH_ROOT_USER=unset

↓変更

#ALLOW_SSH_ROOT_USER=no
#ALLOW_SSH_ROOT_USER=unset
ALLOW_SSH_ROOT_USER=no

 

# yum install file

 

データベースのアップデート

 

 

システムのファイル情報アップデート

 

# rkhunter --propupd

[ Rootkit Hunter version 1.4.4 ]
File created: searched for 174 files, found 121

 

検知用データベースのアップデート

# rkhunter --update

[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ Updated ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ Updated ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ Updated ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Updated ]
  Checking file i18n/tr.utf8                                 [ Updated ]
  Checking file i18n/zh                                      [ Updated ]
  Checking file i18n/zh.utf8                                 [ Updated ]
  Checking file i18n/ja                                      [ Updated ]

 

 

チェックしてみよう

# rkhunter --check --sk

※--rwoをつけると警告がある場合のみ結果が表示されます
# rkhunter --check --sk --rwo

 

動作を確認してくださいね。

 

 

定期実行スクリプトの作成

# vi /root/rkhunter.sh


#!/bin/sh

## -------------------------------

MAILTO=root
## -------------------------------

MAILBODY=`mktemp temp.XXXXXX`


# rootkit判定データベース更新
rkhunter --update > /dev/null 2>&1

# チェック実行 異常があればメールを行う
rkhunter -c --sk --cronjob --rwo 2>&1 > $MAILBODY
if [ -s $MAILBODY ]; then
    mail -s "[Rootkit Hunter] `hostname` `date +%Y-%m-%d`" $MAILTO < $MAILBODY
fi


rm -f $MAILBODY

 

 

# chmod +x /root/rkhunter.sh

 

# sh /root/rkhunter.sh

 

# vi /etc/crontab

※下記を追加

## 4時40分にrkhunter実行
20 4 * * * root /root/rkhunter.sh

 

これで設定はおしまい。rkhunter以外にもセキュリティ系のミドルウェアは豊富ですので、調べてもみるのも面白いかと思います。

お疲れ様です。

 

関連記事 - More from my site -

Amazonおすすめ

iPad 9世代 2021年最新作

iPad 9世代出たから買い替え。安いぞ!🐱 初めてならiPad。Kindleを外で見るならiPad mini。ほとんどの人には通常のiPadをおすすめします><

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)