Ceci est une ancienne révision du document !
Table des matières
Détection des rootkits : rkhunter
Présentation
rkhunter permet de détecter la présence de rootkit et informe de la modification de certains fichiers du système.
Installation
apt-get install rkhunter
Utilisation
Lancement des tests
rkhunter --check
Cette commande est à lancer après une mise à jour, l'ajout d'un utilisateur ou celui d'un groupe. En cas de détection d'un problème correspondant à un de ces 3 cas, voir la commande “rkhunter –propupdate”.
Rafraîchissement de la base de contrôle
rkhunter --update
Validation des erreurs
rkhunter --propupdate
Cette commande permet d'enregistrer les modifications de fichiers suite à une mise à jour ou la présence d'un nouvel utilisateur.
Configuration
Destinataire de alertes : /etc/default/rkhunter
REPORT_EMAIL="root" CRON_DAILY_RUN="true" DB_UPDATE_EMAIL="true" CRON_DB_UPDATE="true"
Remarque : les mails pour root sont redirigés vers une adresse mail (cf /etc/aliases).
Mail envoyé : /etc/rkhunter.conf
MAIL_CMD=mail -s "[rkhunter] Alerte pour ${HOST_NAME}"
Initialisation de la surveillance
Le premier contrôle via la commande rkhunter –check peut détecter des “faux positifs”. Il s'agit de les faire disparaître puisque le serveur qui vient d'être installé n'a normalement pas de rootkit.
Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request
Autres configurations
Cron
Autres logiciels
- Monit pour le monitoring de rkhunter