rkhunter permet de détecter la présence de rootkit et informe de la modification de certains fichiers du système.

apt-get install rkhunter

rkhunter --check

Cette commande est à lancer après une mise à jour, l'ajout d'un utilisateur ou celui d'un groupe. En cas de détection d'un problème correspondant à un de ces 3 cas, voir la commande “rkhunter –propupdate”.

rkhunter --update

rkhunter --propupdate

Cette commande permet d'enregistrer les modifications de fichiers suite à une mise à jour ou la présence d'un nouvel utilisateur.

REPORT_EMAIL="root"
CRON_DAILY_RUN="true"
DB_UPDATE_EMAIL="true"
CRON_DB_UPDATE="true"

Remarque : les mails pour root sont redirigés vers une adresse mail (cf /etc/aliases).

vi /etc/rkhunter.conf

MAIL_CMD=mail -s "[rkhunter] Alerte pour ${HOST_NAME}"

• Monit pour le monitoring de rkhunter

…

• http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html