rkhunter - охотник за руткитами
18-07-2010. Разместил: admin
Мы уже с Вами говорили о инструментах аудита системы и поиска руткитов. В частности здесь и здесь.
Выполнив
#make search key=rootkit
мы увидим список из 3 портов, среди которых chkrootkit, lynis и виновник данной статьи - rkhunter.
Рассмотрим его поподробнее. Ставим:
rkhunter: /usr/ports/security/rkhunter
#cd /usr/ports/rkhunter
#make install clean
Утилита тянет за собою несколько портов, в частности nmap и lua. О nmap - сетевом сканере - мы еще поговорим более подробно, в отдельной статье.
После установки нам рекомендуют добавить в /etc/periodic.conf пару строк, а именно
daily_rkhunter_check_enable="YES"
Первая ежедневно обновляет базу rkhunter'a, вторая - ежедневно запускает его на проверку системы.
Ознакомится с опциями запуска можно набрав man rkhunter.
Ну а выполнить проверку можно набрав
которая проведет вам проверку системы на предмет известных ей руткитов (а ей знакомо большое количество руткитов) и выведет результаты в лог-файл, который хранится по адресу /var/log/rkhunter.log
Если вы не будете добавлять вышеприведенные строчки в /etc/periodic.conf, то необходимо предварительно обновить базу rkhuntera командой
В частности у меня проверка ничего не нашла, но дала рекомандации по обновлению нескольких приложений, могущих иметь проблемы с безопасностью.
Кстати, nmap ей нужен для проверки открытости сетевых портов, используемыми руткитами.
Вот и все. У вас стало больше инструментов для обнаружения вредоносного вторжения. Следите за бесопасностью!
Вернуться назад