Как сканировать сервер Debian на наличие руткитов с помощью Rkhunter

Rkhunter означает «Rootkit Hunter» — бесплатный сканер уязвимостей с открытым исходным кодом для операционных систем Linux. Он сканирует на наличие руткитов и других возможных уязвимостей, включая скрытые файлы, неправильные разрешения, установленные для двоичных файлов, подозрительные строки в ядре и т. Д. Он сравнивает хэши SHA-1 всех файлов в вашей локальной системе с известными хорошими хэшами в онлайн-базе данных. Он также проверяет локальные системные команды, файлы запуска и сетевые интерфейсы на предмет прослушивания служб и приложений.

В этом руководстве мы объясним, как установить и использовать Rkhunter на сервере Debian 10.

Предпосылки

Сервер под управлением Debian 10.

На сервере настроен пароль root.

Установить и настроить Rkhunter

По умолчанию пакет Rkhunter доступен в репозитории Debian 10 по умолчанию. Вы можете установить его, просто выполнив следующую команду:

apt-get install rkhunter -y

После завершения установки вам нужно будет настроить Rkhunter перед сканированием вашей системы. Вы можете настроить его, отредактировав файл /etc/rkhunter.conf.

нано /etc/rkhunter.conf

Измените следующие строки:

# Включить проверку зеркала.
UPDATE_MIRRORS = 1

# Говорит rkhunter использовать любое зеркало.
MIRRORS_MODE = 0

# Укажите команду, которую rkhunter будет использовать при загрузке файлов из Интернета
WEB_CMD = ""

Сохраните и закройте файл, когда закончите. Затем проверьте Rkhunter на наличие синтаксических ошибок конфигурации с помощью следующей команды:

rkhunter -C

Обновите Rkhunter и установите базовый уровень безопасности

Затем вам нужно будет обновить файл данных с интернет-зеркала. Вы можете обновить его с помощью следующей команды:

rkhunter --update

Вы должны получить следующий результат:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ Updated ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ Skipped ]
  Checking file i18n/de                                      [ Skipped ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Skipped ]
  Checking file i18n/tr.utf8                                 [ Skipped ]
  Checking file i18n/zh                                      [ Skipped ]
  Checking file i18n/zh.utf8                                 [ Skipped ]
  Checking file i18n/ja

Затем проверьте информацию о версии Rkhunter с помощью следующей команды:

rkhunter --versioncheck

Вы должны получить следующий результат:

[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter version...
  This version  : 1.4.6
  Latest version: 1.4.6

Затем установите базовый уровень безопасности с помощью следующей команды:

rkhunter --propupd

Вы должны получить следующий результат:

[ Rootkit Hunter version 1.4.6 ]
File updated: searched for 180 files, found 140

Выполнить тестовый прогон

На этом этапе Rkhunter установлен и настроен. Теперь пришло время выполнить сканирование безопасности вашей системы. Вы делаете это, выполнив следующую команду:

rkhunter --check

Вам нужно будет нажимать Enter для каждой проверки безопасности, как показано ниже:

System checks summary
=====================

File properties checks...
    Files checked: 140
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 497
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 2 minutes and 10 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Вы можете использовать параметр –sk, чтобы не нажимать Enter, и параметр –rwo, чтобы отображать только предупреждение, как показано ниже:

rkhunter --check --rwo --sk

Вы должны получить следующий результат:

Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no

Вы также можете проверить журналы Rkhunter, используя следующую команду:

tail -f /var/log/rkhunter.log

Планирование регулярного сканирования с помощью Cron

Рекомендуется настроить Rkhunter для регулярного сканирования вашей системы. Вы можете настроить его, отредактировав файл / etc / default / rkhunter:

nano /etc/default/rkhunter

Измените следующие строки:

#Perform security check daily
CRON_DAILY_RUN="true"

#Enable weekly database updates.
CRON_DB_UPDATE="true"

#Enable automatic database updates
APT_AUTOGEN="true"

Сохраните и закройте файл, когда закончите.

Вывод

Поздравляю! вы успешно установили и настроили Rkhunter на сервере Debian 10. Теперь вы можете регулярно использовать Rkhunter для защиты своего сервера от вредоносных программ.

Добавить комментарий