Home.lan

Rkhunter — это сканер различных видов локальных (потенциальных) уязвимостей (бэкдоров, эксплоитов и руткитов) со своей регулярно обновляемой базой.
Он также производит проверки и выявления изменений в установленных программах, в системных файлах запуска и различные проверки для приложений, которые "слушают" на сетевых интерфейсах сервера. О найденных проблемах умеет оповещать по почте.

Он написан на bash и perl, поэтому будет работать под любой серверной ОС на базе unix без каких-либо проблем.

Установка rkhunter из репозитория

Код:

apt-get install rkhunter

При установке автоматически создаются скрипты запуска программы в /etc/cron.dayly для ежедневного запуска сканирования системы и в /etc/cron.weekly для еженедельного обновления базы данных уязвимостей.
Для включения автозапуска отредактируйте /etc/default/rkhunter:

bash:

Подсветка синтаксиса : Bash # Set this to yes to enable rkhunter daily runs # (default: true) CRON_DAILY_RUN="true"   # Set this to yes to enable rkhunter weekly database updates # (default: true) CRON_DB_UPDATE="true"   # Set this to yes to enable reports of weekly database updates # (default: false) DB_UPDATE_EMAIL="true"   # Set this to the email address where reports and run output should be sent # (default: root) REPORT_EMAIL="root"   # Set this to yes to enable automatic database updates # (default: false) APT_AUTOGEN="false"   # Nicenesses range from -20 (most favorable scheduling) to 19 (least favorable) # (default: 0) NICE="0"   # Should daily check be run when running on battery # powermgmt-base is required to detect if running on battery or on AC power # (default: false) RUN_CHECK_ON_BATTERY="false" Parsed in 0.068 seconds, using GeSHi 1.0.8.11. Created cache - 06.09.23 16:34

При отсутствии скриптов в некоторых дистрибутивах Linux автоматизация запуска осуществляется через cron:

Добавьте в /etc/crontab следующие строки:

Код:

# Обновляет базу rkhunter раз в неделю в 01:00 0 1 * * 1 root rkhunter --update --cronjob # Сканирует на руткиты каждый день в 01:30 30 1 * * * root rkhunter --check --cronjob

Перезапускаем cron:

Код:

# sudo /etc/init.d/cron restart

Настройка rkhunter

Настройка rkhunter интуитивно понятна и выполняется путем редактирования файла /etc/rkhunter.conf.
Например, для отправки уведомлений о найденных угрозах на почту отредактируйте параметр MAIL-ON-WARNING добавив свои адреса через пробел:

Код:

MAIL-ON-WARNING=root@localhost admin@test.ru

Применение

Для начала нужно обновить базу данных уязвимостей:

Код:

rkhunter --update

После каждого изменения файла /etc/rkhunter.conf нужно выполнять команду:

Код:

rkhunter --propupd

Начать сканирование системы можно с помощью команды:

Код:

rkhunter --check

или в режиме вывода только предупреждений:

Код:

rkhunter -c --rwo

В идеальном случае эта команда не должна выдавать никаких сообщений, но даже на чистой системе вывод на экран консоли скорее всего будет содержать предупреждения (Warnings).

Ложные срабатывания rkhunter

Правка файла конфигурации /etc/rkhunter.conf.

Цитата:

Warning: Checking if SSH root access is allowed

редактируем параметр ALLOW_SSH_ROOT_USER взависимости от параметра PermitRootLogin (yes, no, without-password)

Цитата:

Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

раскомментировать:

Код:

SCRIPTWHITELIST=/usr/bin/unhide.rb

Цитата:

Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs’

добавить

Код:

ALLOWHIDDENFILE="/dev/.initramfs"

Цитата:

Warning: Suspicious file types found in /dev: /dev/.udev/rules.d/root.rules: ASCII text

добавить

Код:

ALLOWDEVFILE=/dev/.udev/rules.d/root.rules

Подобным образом можно внести и другие исключения.
Например:

Код:

ALLOWHIDDENDIR="/dev/.udev"

Сохраняем изменения и обновляем свойства rkhunter:

Код:

sudo rkhunter –-propupd

Вот и всё, ребята