Rkhunter je zkratka pro „Rootkit Hunter“ je bezplatný a open source skener zranitelnosti pro operační systémy Linux. Vyhledává rootkity a další možná zranitelnosti, včetně skrytých souborů, nesprávných oprávnění nastavených na binárních souborech. , podezřelé řetězce v jádře atd. Porovnává SHA-1 hash všech souborů ve vašem lokálním systému se známými dobrými hashemi v online databázi. Také kontroluje místní systémové příkazy, spouštěcí soubory a síťová rozhraní pro naslouchací služby a aplikace .
V tomto tutoriálu vysvětlíme, jak nainstalovat a používat Rkhunter na serveru Debian 10.
Předpoklady
- Server se systémem Debian 10.
- Na serveru je nakonfigurováno heslo uživatele root.
Nainstalujte a nakonfigurujte Rkhunter
Ve výchozím nastavení je balíček Rkhunter dostupný ve výchozím úložišti Debianu 10. Můžete jej nainstalovat jednoduše spuštěním následujícího příkazu:
apt-get install rkhunter -y
Po dokončení instalace budete muset před skenováním systému nakonfigurovat Rkhunter. Můžete jej nakonfigurovat úpravou souboru /etc/rkhunter.conf.
nano /etc/rkhunter.conf
Změňte následující řádky:
#Enable the mirror checks. UPDATE_MIRRORS=1 #Tells rkhunter to use any mirror. MIRRORS_MODE=0 #Specify a command which rkhunter will use when downloading files from the Internet WEB_CMD=""
Po dokončení uložte a zavřete soubor. Dále ověřte Rkhunter, zda neobsahuje nějakou chybu syntaxe konfigurace pomocí následujícího příkazu:
rkhunter -C
Aktualizujte Rkhunter a nastavte základní úroveň zabezpečení
Dále budete muset aktualizovat datový soubor z internetového zrcadla. Můžete jej aktualizovat pomocí následujícího příkazu:
rkhunter --update
Měli byste získat následující výstup:
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter data files... Checking file mirrors.dat [ Updated ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ Skipped ] Checking file i18n/de [ Skipped ] Checking file i18n/en [ No update ] Checking file i18n/tr [ Skipped ] Checking file i18n/tr.utf8 [ Skipped ] Checking file i18n/zh [ Skipped ] Checking file i18n/zh.utf8 [ Skipped ] Checking file i18n/ja [ Skipped ]
Dále ověřte informace o verzi Rkhunter pomocí následujícího příkazu:
rkhunter --versioncheck
Měli byste získat následující výstup:
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter version... This version : 1.4.6 Latest version: 1.4.6
Dále nastavte základní úroveň zabezpečení pomocí následujícího příkazu:
rkhunter --propupd
Měli byste získat následující výstup:
[ Rootkit Hunter version 1.4.6 ] File updated: searched for 180 files, found 140
Proveďte zkušební provoz
V tomto okamžiku je Rkhunter nainstalován a nakonfigurován. Nyní je čas provést bezpečnostní kontrolu vašeho systému. Provedete to spuštěním následujícího příkazu:
rkhunter --check
Pro každou bezpečnostní kontrolu budete muset stisknout Enter, jak je uvedeno níže:
System checks summary
=====================
File properties checks...
Files checked: 140
Suspect files: 3
Rootkit checks...
Rootkits checked : 497
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 10 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Můžete použít volbu –sk, abyste se vyhnuli stisknutí Enter, a volbu –rwo pro zobrazení pouze varování, jak je uvedeno níže:
rkhunter --check --rwo --sk
Měli byste získat následující výstup:
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': yes
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Záznamy Rkhunter můžete také zkontrolovat pomocí následujícího příkazu:
tail -f /var/log/rkhunter.log
Naplánujte pravidelné skenování pomocí Cronu
Doporučuje se nakonfigurovat Rkhunter tak, aby pravidelně skenoval váš systém. Můžete jej nakonfigurovat úpravou souboru /etc/default/rkhunter:
nano /etc/default/rkhunter
Změňte následující řádky:
#Perform security check daily CRON_DAILY_RUN="true" #Enable weekly database updates. CRON_DB_UPDATE="true" #Enable automatic database updates APT_AUTOGEN="true"
Po dokončení uložte a zavřete soubor.
Závěr
Gratulujeme! úspěšně jste nainstalovali a nakonfigurovali Rkhunter na serveru Debian 10. Nyní můžete Rkhunter pravidelně používat k ochraně vašeho serveru před malwarem.