Installation et utilisation de rkhunter l'anti rootkit

Petit tutoriel sur l'installation et la configuration de Rkhunter.

Présentation de la bête :

Rkhunter est un programme Unix qui permet de détecter les Rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il peut détecter les répertoires généralement utilisés par les rootkits. Les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux.

Téléchargement :

Il est disponible sur Sourceforge : http://sourceforge.net/project/showfiles.php?group_id=155034&package_id=172567&release_id=650418

cd /opt/SOURCES
wget http://freefr.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.4.tar.gz
tar xvzf rkhunter-1.3.4.tar.gz
cd rkhunter-1.3.4

Installation :

Il faut utiliser le script install.sh moi j'ai fais comme ceci :

mkdir -p /opt/rkhunter134
./installer.sh --layout custom /opt/rkhunter134 --install
cd /opt
ln -s rkhunter134 rkhunter

Taper juste ./install.sh et vous aurez les options d'installation.

Biensur pour les gens qui préfère utiliser leur gestionnaire de paquet :

yum install rkhunter
aptitude install rkhunter

Configuration :

Si votre installation a réussi vous devriez trouvez ici /opt/rkhunter134/etc/ ou la /etc un fichier nommé rkhunter.conf tres simple et bien commenté. L'option d'envoi de mail en cas d'alerte ou en cas de rapport de scan est sympa.

Quelques commandes :

./rkhunter --versioncheck       -> pour vérifier que vous avez la dernière version.
./rkhunter --update                -> mettre à jour rkhunter.
./rkhunter --check                  -> faire un scan de toute votre machine.

Pour éviter d'être obligé d'aller dans /opt/rkhunter134/bin/ et de taper ./ devant une commande ajouter ceci dans votre /etc/profile

pathmunge /opt/rkhunter/bin

Pour Debian et Ubuntu il suffit de rajouter /opt/rkhunter/bin dans la ligne de PATH du fichier /etc/profile.

Rkhunter automatiquement :

Le mieux pour pas avoir trop à faire :p, c'est de couplé rkhunter avec crontab comme ça il scan et se met à jour seul et vous envoi un rapport par mail.

Créer un script comme ceci adaptez le à vos besoin et contrainte.

vi auto-rkhunter.sh

#!/bin/sh
source /etc/profile
rkhunter --update && rkhunter --check

On enregistre et on le rend executable

chmod +x auto-rkhunter.sh

et vous rajoutez ceci dans votre crontab :

crontab -e

00 23 * * * /data/secu/auto-rkhunter.sh

Voila :) maintenant il faut savoir qu'il a un concurent : Chkrootkit

Vus : 420
Publié par System Linux : 211