====== Détection des rootkits : rkhunter ======
===== Présentation =====
rkhunter permet de détecter la présence de rootkit et informe de la modification de certains fichiers du système.

===== Installation =====
<code  bash>
apt-get install rkhunter
</code>

===== Utilisation =====

==== Lancement des tests ====
<code bash>
rkhunter --check
</code>
Cette commande est à lancer après une mise à jour, l'ajout d'un utilisateur ou celui d'un groupe. En cas de détection d'un problème correspondant à un de ces 3 cas, voir la commande "rkhunter --propupdate". 

==== Rafraîchissement de la base de contrôle ====
<code bash>
rkhunter --update
</code>

==== Validation des erreurs ====
<code bash>
rkhunter --propupdate
</code>
Cette commande permet d'enregistrer les modifications de fichiers suite à une mise à jour ou la présence d'un nouvel utilisateur.

===== Configuration =====

==== Destinataire de alertes : /etc/default/rkhunter =====

<file>
REPORT_EMAIL="root"
CRON_DAILY_RUN="true"
DB_UPDATE_EMAIL="true"
CRON_DB_UPDATE="true"
</file>

Remarque : les mails pour root sont redirigés vers une adresse mail (cf [[exim|/etc/aliases]]).

==== Mail envoyé : /etc/rkhunter.conf =====

<file>
MAIL_CMD=mail -s "[rkhunter] Alerte pour ${HOST_NAME}"
</file>

===== Initialisation de la surveillance : /etc/rkhunter.conf =====
Le premier contrôle via la commande **rkhunter --check** peut détecter des "faux positifs". Il s'agit de les faire disparaître puisque le serveur qui vient d'être installé n'a normalement pas de rootkit.
==== Commandes ====
=== Mise à jour de la base de contrôle ===
<code>
rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ Updated ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]
</code>
=== Mise à jour de la situation su système ===
<code>
rkhunter --propupdate
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 174 files, found 137
</code>
=== Recherche des problèmes ===  
<code>
rkhunter --check
[ Rootkit Hunter version 1.4.2 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
...
The system checks took: 3 minutes and 45 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
</code>
Les premières détections doivent être corrigées pour prendre en compte le système à l'origine. Les alertes sont dans le fichier /var/log/rkhunter.log.  
==== Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request ==== 
Mettre la ligne en commentaire :
<file>
# SCRIPTWHITELIST=/usr/bin/lwp-request
</file>
==== Warning: The SSH and rkhunter configuration options should be the same ====
Warning :
<file>
...
[18:44:21]   Checking if SSH root access is allowed          [ Warning ]
[18:44:22] Warning: The SSH and rkhunter configuration options should be the same:
[18:44:22]          SSH configuration option 'PermitRootLogin': without-password
[18:44:22]          Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
...
</file>
Modifier le paramétrage pour qu'il soit identique à celui de /etc/ssh/sshd_config :
<file>
#
# The following option is checked against the SSH configuration file
# 'PermitRootLogin' option. A warning will be displayed if they do not match.
# However, if a value has not been set in the SSH configuration file, then a
# value here of 'unset' can be used to avoid warning messages.
#
# The default value is 'no'.
#
ALLOW_SSH_ROOT_USER=without-password
</file>









===== Sources =====

  * http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html