Installation et utilisation de rkhunter l'anti rootkit
Petit tutoriel sur l'installation et la configuration de Rkhunter.
Présentation de la bête :
Rkhunter est un programme Unix qui permet de détecter les Rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il peut détecter les répertoires généralement utilisés par les rootkits. Les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux.
Téléchargement :
Il est disponible sur Sourceforge : http://sourceforge.net/project/showfiles.php?group_id=155034&package_id=172567&release_id=650418
cd /opt/SOURCES wget http://freefr.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.4.tar.gz tar xvzf rkhunter-1.3.4.tar.gz cd rkhunter-1.3.4
Installation :
Il faut utiliser le script install.sh moi j'ai fais comme ceci :
mkdir -p /opt/rkhunter134 ./installer.sh --layout custom /opt/rkhunter134 --install cd /opt ln -s rkhunter134 rkhunter
Taper juste ./install.sh et vous aurez les options d'installation.
Biensur pour les gens qui préfère utiliser leur gestionnaire de paquet :
yum install rkhunter aptitude install rkhunter
Configuration :
Si votre installation a réussi vous devriez trouvez ici /opt/rkhunter134/etc/ ou la /etc un fichier nommé rkhunter.conf tres simple et bien commenté. L'option d'envoi de mail en cas d'alerte ou en cas de rapport de scan est sympa.
Quelques commandes :
./rkhunter --versioncheck -> pour vérifier que vous avez la dernière version. ./rkhunter --update -> mettre à jour rkhunter. ./rkhunter --check -> faire un scan de toute votre machine.
Pour éviter d'être obligé d'aller dans /opt/rkhunter134/bin/ et de taper ./ devant une commande ajouter ceci dans votre /etc/profile
pathmunge /opt/rkhunter/bin
Pour Debian et Ubuntu il suffit de rajouter /opt/rkhunter/bin dans la ligne de PATH du fichier /etc/profile.
Rkhunter automatiquement :
Le mieux pour pas avoir trop à faire :p, c'est de couplé rkhunter avec crontab comme ça il scan et se met à jour seul et vous envoi un rapport par mail.
Créer un script comme ceci adaptez le à vos besoin et contrainte.
vi auto-rkhunter.sh #!/bin/sh source /etc/profile rkhunter --update && rkhunter --check On enregistre et on le rend executable chmod +x auto-rkhunter.sh
et vous rajoutez ceci dans votre crontab :
crontab -e 00 23 * * * /data/secu/auto-rkhunter.sh
Voila maintenant il faut savoir qu'il a un concurent : Chkrootkit