Table des matières
Détection des rootkits : rkhunter
Présentation
rkhunter permet de détecter la présence de rootkit et informe de la modification de certains fichiers du système.
Installation
apt-get install rkhunter
Utilisation
Lancement des tests
rkhunter --check
Cette commande est à lancer après une mise à jour, l'ajout d'un utilisateur ou celui d'un groupe. En cas de détection d'un problème correspondant à un de ces 3 cas, voir la commande “rkhunter –propupdate”.
Rafraîchissement de la base de contrôle
rkhunter --update
Validation des erreurs
rkhunter --propupdate
Cette commande permet d'enregistrer les modifications de fichiers suite à une mise à jour ou la présence d'un nouvel utilisateur.
Configuration
Destinataire de alertes : /etc/default/rkhunter
REPORT_EMAIL="root" CRON_DAILY_RUN="true" DB_UPDATE_EMAIL="true" CRON_DB_UPDATE="true"
Remarque : les mails pour root sont redirigés vers une adresse mail (cf /etc/aliases).
Mail envoyé : /etc/rkhunter.conf
MAIL_CMD=mail -s "[rkhunter] Alerte pour ${HOST_NAME}"
Initialisation de la surveillance : /etc/rkhunter.conf
Le premier contrôle via la commande rkhunter –check peut détecter des “faux positifs”. Il s'agit de les faire disparaître puisque le serveur qui vient d'être installé n'a normalement pas de rootkit.
Commandes
Mise à jour de la base de contrôle
rkhunter --update [ Rootkit Hunter version 1.4.2 ] Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ Updated ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ No update ] Checking file i18n/de [ No update ] Checking file i18n/en [ No update ] Checking file i18n/tr [ No update ] Checking file i18n/tr.utf8 [ No update ] Checking file i18n/zh [ No update ] Checking file i18n/zh.utf8 [ No update ]
Mise à jour de la situation su système
rkhunter --propupdate [ Rootkit Hunter version 1.4.2 ] File updated: searched for 174 files, found 137
Recherche des problèmes
rkhunter --check
[ Rootkit Hunter version 1.4.2 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
...
The system checks took: 3 minutes and 45 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Les premières détections doivent être corrigées pour prendre en compte le système à l'origine. Les alertes sont dans le fichier /var/log/rkhunter.log.
Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request
Mettre la ligne en commentaire :
# SCRIPTWHITELIST=/usr/bin/lwp-request
Warning: The SSH and rkhunter configuration options should be the same
Warning :
... [18:44:21] Checking if SSH root access is allowed [ Warning ] [18:44:22] Warning: The SSH and rkhunter configuration options should be the same: [18:44:22] SSH configuration option 'PermitRootLogin': without-password [18:44:22] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no ...
Modifier le paramétrage pour qu'il soit identique à celui de /etc/ssh/sshd_config :
# # The following option is checked against the SSH configuration file # 'PermitRootLogin' option. A warning will be displayed if they do not match. # However, if a value has not been set in the SSH configuration file, then a # value here of 'unset' can be used to avoid warning messages. # # The default value is 'no'. # ALLOW_SSH_ROOT_USER=without-password