rkhunter permet de détecter la présence de rootkit et informe de la modification de certains fichiers du système.
apt-get install rkhunter
rkhunter --check
Cette commande est à lancer après une mise à jour, l'ajout d'un utilisateur ou celui d'un groupe. En cas de détection d'un problème correspondant à un de ces 3 cas, voir la commande “rkhunter –propupdate”.
rkhunter --update
rkhunter --propupdate
Cette commande permet d'enregistrer les modifications de fichiers suite à une mise à jour ou la présence d'un nouvel utilisateur.
REPORT_EMAIL="root" CRON_DAILY_RUN="true" DB_UPDATE_EMAIL="true" CRON_DB_UPDATE="true"
Remarque : les mails pour root sont redirigés vers une adresse mail (cf /etc/aliases).
MAIL_CMD=mail -s "[rkhunter] Alerte pour ${HOST_NAME}"
Le premier contrôle via la commande rkhunter –check peut détecter des “faux positifs”. Il s'agit de les faire disparaître puisque le serveur qui vient d'être installé n'a normalement pas de rootkit.
rkhunter --update [ Rootkit Hunter version 1.4.2 ] Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ Updated ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ No update ] Checking file i18n/de [ No update ] Checking file i18n/en [ No update ] Checking file i18n/tr [ No update ] Checking file i18n/tr.utf8 [ No update ] Checking file i18n/zh [ No update ] Checking file i18n/zh.utf8 [ No update ]
rkhunter --propupdate [ Rootkit Hunter version 1.4.2 ] File updated: searched for 174 files, found 137
rkhunter --check
[ Rootkit Hunter version 1.4.2 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
...
The system checks took: 3 minutes and 45 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Les premières détections doivent être corrigées pour prendre en compte le système à l'origine. Les alertes sont dans le fichier /var/log/rkhunter.log.
Mettre la ligne en commentaire :
# SCRIPTWHITELIST=/usr/bin/lwp-request
Warning :
... [18:44:21] Checking if SSH root access is allowed [ Warning ] [18:44:22] Warning: The SSH and rkhunter configuration options should be the same: [18:44:22] SSH configuration option 'PermitRootLogin': without-password [18:44:22] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no ...
Modifier le paramétrage pour qu'il soit identique à celui de /etc/ssh/sshd_config :
# # The following option is checked against the SSH configuration file # 'PermitRootLogin' option. A warning will be displayed if they do not match. # However, if a value has not been set in the SSH configuration file, then a # value here of 'unset' can be used to avoid warning messages. # # The default value is 'no'. # ALLOW_SSH_ROOT_USER=without-password