見出し
1年以上前に更新された記事です。
情報が古い可能性がありますので、注意してください。
情報が古い可能性がありますので、注意してください。
rootkitを検出するrkhunterをインストールする。
インストール
$ sudo apt-get install rkhunter
初回チェック
最初は問題ないものでも警告が出る可能性がある。出た場合は、問題ないことを確認してホワイトリストに追加する。
-c チェック
–sk エンターキー要求をスキップ
–rwo 警告のみ表示
$ sudo rkhunter --update $ sudo rkhunter --propupd $ sudo rkhunter -c --rwo --sk
私の環境では警告でなかった。
Invalid SCRIPTWHITELIST が出た場合
/etc/rkhunter.conf を編集してコメントアウトする。
$ sudo rkhunter --propupd Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request $ sudo vi /etc/rkhunter.conf #SCRIPTWHITELIST=/usr/bin/lwp-request
The command ‘***’ has been replaced by a script
このコマンドはスクリプトだけど大丈夫?といった感じの警告。
問題がないものであればホワイトリストに追加する。
$ sudo rkhunter -c --rwo --sk Warning: The command '/sbin/chkconfig' has been replaced by a script: /sbin/chkconfig: Perl script, ASCII text executable $ sudo vi /etc/rkhunter.conf SCRIPTWHITELIST=/sbin/chkconfig
Found enabled inetd service
inetdに新規にサービスが追加された際に出る。
inetdの設定ファイルを見るようにコメントアウトを解除。
INETD_ALLOWED_SVCでサービス名を指定する。
$ sudo rkhunter -c --rwo --sk Warning: Found enabled inetd service: ftp $ sudo vi /etc/rkhunter.conf INETD_CONF_PATH=/etc/inetd.conf INETD_ALLOWED_SVC=ftp
定期実行
/etc/cron.daily/rkhunter が自動的に作成されるので定期実行されそうだが、別ファイルでフラグ設定しているのでデフォルトのままでは動かない。
一日一回定期実行させるには /etc/default/rkhunter のフラグを変更する。
$ sudo vi /etc/default/rkhunter # Defaults for rkhunter automatic tasks # sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter # # This is a POSIX shell fragment # # Set this to yes to enable rkhunter daily runs # (default: true) CRON_DAILY_RUN="true" # Set this to yes to enable rkhunter weekly database updates # (default: true) CRON_DB_UPDATE="true" # Set this to yes to enable reports of weekly database updates # (default: false) DB_UPDATE_EMAIL="true" # Set this to the email address where reports and run output should be sent # (default: root) REPORT_EMAIL="root" # Set this to yes to enable automatic database updates # (default: false) APT_AUTOGEN="false" # Nicenesses range from -20 (most favorable scheduling) to 19 (least favorable) # (default: 0) NICE="0" # Should daily check be run when running on battery # powermgmt-base is required to detect if running on battery or on AC power # (default: false) RUN_CHECK_ON_BATTERY="false"
コメントを残す