acasă # 149; Articole # 149; rkhunter - program pentru căutarea de rootkit în debian
Lista secțiunilor:
Pe scurt, rootkit-ul este un set de programe concepute pentru a ascunde unele activități negative sau prezența unui hoț în sistem.
Instalarea lui rkhunter
Vom instala rkhunter 1.4.0 sub Debian 7.
În general, unitatea nu ar trebui să creeze dificultăți, deoarece sa dovedit că versiunea rkhunter 1.4.0-1 este în depozitele oficiale Debain 7. Instalați:
Sau puteți să o instalați manual descărcând arhiva de pe site-ul oficial:
Ieșirea ultimei comenzi:
Sistem de verificare pentru:
Rootkit Hunter fișierele de instalare: găsite
O comandă de descărcare a fișierului web: wget found
Începerea instalării:
Verificând directorul de instalare "/ usr / local": există și este scris.
Verificarea directoarelor de instalare:
Director /usr/local/share/doc/rkhunter-1.4.0: crearea: OK
Director / usr / local / share / man / man8: crearea: OK
Director / etc: există și este scris.
Director / usr / local / bin: există și este scris.
Director / usr / local / lib: există și este scris.
Directory / var / lib: există și este scris.
Directory / usr / local / lib / rkhunter / scripturi: crearea: OK
Directory / var / lib / rkhunter / db: crearea: OK
Directory / var / lib / rkhunter / tmp: crearea: OK
Directory / var / lib / rkhunter / db / i18n: crearea: OK
Instalarea check_modules.pl: OK
Instalarea filehashsha.pl: OK
Instalarea stat.pl: OK
Instalarea readlink.sh: OK
Instalarea backdoorports.dat: OK
Instalarea mirror.dat: OK
Instalarea programs_bad.dat: OK
Instalarea suspscan.dat: OK
Instalarea lui rkhunter.8: OK
Instalarea cunoștințelor: OK
Instalarea CHANGELOG: OK
Instalarea întrebărilor frecvente: OK
Instalarea LICENȚEI: OK
Instalarea programului README: OK
Instalarea fișierelor de suport lingvistic: OK
Instalarea lui rkhunter: OK
Instalarea rkhunter.conf: OK
Instalarea este completă
Alți parametri ai instalatorului rkhunter pot fi găsiți folosind comanda:
Cum se instalează este de până la tine. Prima metodă este mai ușoară, cea de-a doua vă permite să instalați o versiune mai recentă.
De asemenea, ar trebui să instalați programul de descoperire. care vă permite să căutați procese și porturi ascunse:
Configurarea rkhunter
Vom presupune că am folosit metoda de instalare din depozit.
/ etc / default / rkhunter - puteți configura sarcini periodice (actualizare, verificare, rapoarte),
/etc/rkhunter.conf - fișierul principal de configurare
Informațiile de bază pot fi găsite în directorul / usr / share / doc / rkhunter și cu comanda om rkhunter. Unele scripturi sunt în directorul / usr / share / rkhunter.
Parametrii care pot fi specificați în / etc / default / rkhunter (parametrii pot fi adevărați sau false):
În /etc/rkhunter.conf puteți să corectați următoarele setări:
PKGMGR = DPKG - judecând după documentație, în Debian acest parametru nu dă prea mult efect, așa că îl puteți lăsa în mod implicit.
DISABLE_TESTS = "aplicații" - dezactivează verificarea actualității versiunilor software, acest lucru fiind tratat perfect de dezvoltatorii Debian.
SUSPSCAN_DIRS = "/ tmp / var / tmp" - specificați ce director să căutați fișiere suspecte.
OS_VERSION_FILE = "/ etc / debian_version" - unde să căutați un fișier cu versiunea sistemului de operare.
USE_LOCKING = 1 - vă permite să utilizați dispozitivul de blocare pentru a proteja împotriva erorilor dacă mai multe procese rulează rkhunter în Debian. Poate fi util dacă rulați automat rkhunter folosind cron.
DISABLE_UNHIDE = 2 - dezactivează utilizarea utilitarului unhide.rb scris în rubin.
Pregătirea sistemului rkhunter pentru prima căutare a rootkit-urilor
Înainte de efectuarea verificării, trebuie să efectuați două acțiuni.
Mai întâi de toate, trebuie să creați o bază de cunoștințe despre fișierele curente, astfel încât mai târziu să o puteți compara. Aceasta este, este necesar să fie sigur că sistemul este curat. Cea mai bună opțiune este să efectuați această acțiune imediat după configurarea sistemului. Baza este creată de comanda:
Baza de date poate fi găsită pe următoarea cale: /var/lib/rkhunter/db/rkhunter.dat
În plus, este necesară actualizarea bazei de cunoștințe care conține, inclusiv, informații despre noile rootkit-uri. Ar trebui să se facă după operația precedentă și înainte de prima verificare. Este utilă actualizarea periodică a bazei de cunoștințe, dar acest lucru nu se poate face prea des. echipa:
Verificările proprietăților de fișier.
Fișiere verificate: 135
Fișiere suspectate: 0
Rootkit cecuri.
Rootkiturile au fost verificate. 309
Posibile rootkituri: 0
Verificarea cererilor.
Toate verificările au fost ignorate
Verificările sistemului au durat: 6 minute și 21 de secunde
Toate rezultatele au fost scrise în fișierul jurnal (/var/log/rkhunter.log)
Unul sau mai multe avertismente au fost găsite în timpul verificării sistemului.
Verificați fișierul jurnal (/var/log/rkhunter.log)
De fapt, concluzia este mai detaliată, doar partea finală este prezentată. După cum puteți vedea, jurnalul poate fi găsit pe calea /var/log/rkhunter.log
Cheile posibile
-c, --check - căutarea pentru rootkits, rezultatul va fi afișat pe ieșirea standard, precum și în fișierul jurnal.
--deblocați - această comandă șterge pur și simplu fișierul de blocare.
--actualizare - va fi verificată pentru o actualizare a bazei de cunoștințe. Această comandă cere ca unul dintre browserele de linie de comandă, de exemplu, wget sau lynx, să fie instalat în sistem. Este recomandabil să executați această comandă cu o anumită periodicitate. Când este utilizat în cron, ar trebui să utilizați și opțiunea --nocolors.
--propupd [. ] - o comandă care vă permite să adăugați informații despre fișierele sistemului la baza de date a sistemului, toate fișierele din director sau pachet. Acest lucru este necesar pentru rularea uneia dintre testele care compară fișierul în starea actuală cu cel care a fost atunci când baza de date a fost creată. Rețineți că fișierul care trebuie adăugat la baza de date trebuie să fie cunoscut ca să nu fie infectat.
--versioncheck - această comandă forțează rkhunter să verifice o nouă versiune a programului pentru a căuta rootkit-uri. Browserul de linie de comandă trebuie să fie prezent în sistem. Dacă se utilizează în cron, este de dorit să se utilizeze opțiunea - coloranti.
--listă [teste | | | rootkit | perl | propfiles] - această comandă afișează câteva caracteristici acceptate ale programului. Teste - afișează numele testelor disponibile, limbile - arată limbile acceptate, rootkiturile - afișează lista de rootkituri din baza de date rkhunter. Perl - afișează o listă de module perl care pot fi necesare de către rkhunter, această listă este opțională, dar de dorit. Puteți instala modulele perl folosind comanda cpan sau utilitarul dh-make-perl, pe care trebuie să îl instalați separat. propfiles - afișează o listă de nume de fișiere care au fost folosite pentru a genera baza de date a fișierelor. Dacă nu sunt specificate opțiuni, toate listele, cu excepția propfilelor, vor fi afișate.
-C, --config-check - vor fi verificate fișierele de configurare. Numai opțiunile activate sunt verificate. Pentru a verifica toate opțiunile, aveți posibilitatea să specificați --enable all --disable none pe linia de comandă.
-V, --versiune - va fi afișată versiunea rkhunter.
-h, --help - această comandă afișează un ecran cu un scurt ajutor.
--appendlog - dacă această opțiune este utilizată, jurnalul /var/log/rkhunter.log va fi actualizat, nu este suprascris. În mod implicit, după finalizarea rkhunter, jurnalul principal este suprascris, iar conținutul său anterior este stocat în fișierul rkhunter.log.log, cu care este stocat doar unul.
--cs2 - schema de culori principală este concepută pentru fundal negru. Dacă rezultatul este afișat pe ecran cu un fundal alb, puteți utiliza o schemă de culoare alternativă.
--cron - atunci când specificați acest parametru următorul opțiuni vor fi utilizate: --check, --nocolors și --skip-keypress, și nu va fi de ieșire la ieșirea standard. Prin urmare, în combinație cu acest parametru, puteți utiliza numai avertismente de avertizare.
--display-logfile - după ce rkhunter își termină lucrarea de ieșire conținutul jurnalului. În general, jurnalul conține informații mai detaliate despre problemele găsite.
--lang - puteți specifica limba în care să afișați informațiile în timpul scanării. Lista limbilor disponibile poate fi obținută de comanda rkhunter -list lang. Limba implicită este engleza.
--logfile [file] - vă permite să redefiniți fișierul în care va fi scris jurnalul. Dacă este necesar, nimic pentru a scrie în jurnal, îl puteți seta ca cale / dev / null.
--nocolors - această opțiune vă permite să activați modul de ieșire alb-negru.
--nolog - suprimă scrierea ceva în jurnal.
--silențios - suprimă orice ieșire. Poate fi util când verificați numai codul de ieșire. Asta este, dacă rkhunter este folosit dintr-un scenariu, de exemplu.
--avertismente de avertizare - sunt afișate numai avertismente. Poate fi util atunci când rulează prin cron. Astfel, avertismentele vor fi vizibile atunci când vă conectați la server folosind KVM, de exemplu.
--sk, --skip-keypress - în mod implicit rkhunter după unele suite de testuri cere să apăsați tasta "Enter". Puteți utiliza această opțiune pentru a evita astfel de solicitări.
--syslog [facility.priority] - în mod implicit, nimic nu este scris în syslog. Dacă doriți să marcați timpul de începere și de sfârșit pentru testare, puteți utiliza acest parametru.
--verbose-logging - acest parametru poate fi folosit astfel încât unele teste să scrie informații mai detaliate în jurnal. Acest lucru poate fi util pentru o reluare, când nu este clar de ce a apărut un avertisment. E nevoie de timp suplimentar.
Detectarea automată a rootkit-urilor
Pentru ca rkhunter să verifice automat sistemul în fiecare zi (testul meu începe la 6:25), este suficient să setați valoarea parametrului CRON_DAILY_RUN la true în fișierul / etc / default / rkhunter. În acest caz, se va folosi următoarea comandă:
După cum ne amintim, --cronjob implică parametri --check, --nocolors și --skip -keypress. În acest caz, rkhunter începe să verifice sistemul în modul de afișare alb-negru, nu solicită nicio apăsare de taste, în timp ce numai avertismentele sunt transmise în consola și jurnalul va fi atașat, nu este suprascris. Din moment ce fișierul log va crește în timp, nu uitați să configurați rotația acestuia.
Dacă doriți să căutați rootkit-uri într-un alt program și cu parametri diferiți, puteți adăuga manual comanda de pornire la cron.