rkhunter

提供: セキュリティ
2013年4月7日 (日) 01:26時点におけるDaemon (トーク | 投稿記録)による版

移動: 案内検索
スポンサーリンク


rkhunter ( Rootkit Hunter ) は、ルートキット検出プログラム(Rootkit scanner)です。

読み方

概要

ルートキット検出プログラム (ルートキットスキャナー) は、約 99.9% 問題のあるツールが存在しないことを確認するためのスキャニングツールです。 rkhunter は、下記のテスト方法で ルートキットバックドア、ローカルエクスプロイトをスキャンします。

  • MD5 ハッシュの比較
  • ルートキットに使われるデフォルトのファイルの検索
  • バイナリのまずいファイルのパーミッション
  • LKM や KLD モジュール内の疑わしい文字列の検索
  • 隠しファイルの検索
  • プレーンテキストとバイナリファイルのオプショナルスキャン

GPL ライセンスです。

インストール

FreeBSD は、 lsof と nmap のオプションをオンにしてインストールしました。

FreeBSDにインストールする場合

ports コレクションからインストールする場合

cd /usr/ports/security/rkhunter
sudo make install clean

pkgコマンドでインストールする場合

sudo pkg install rkhunter

portmasterコマンドでインストールする場合

sudo portmaster -y -d /usr/ports/security/rkhunter

portinstallコマンドでインストールする場合

sudo portinstall /usr/ports/security/rkhunter
===>>> pkg-message for rkhunter-1.4.0
 
******************************************************************************
 
You should keep your rkhunter database up-to-date.
This can be done automatically by putting this line to periodic.conf(5) files:
 
daily_rkhunter_update_enable="YES"
daily_rkhunter_update_flags="--update --nocolors"
 
Also, you can run rkhunter as a part of the daily security check by
putting this line to periodic.conf(5) files:
 
daily_rkhunter_check_enable="YES"
daily_rkhunter_check_flags="--checkall --nocolors --skip-keypress"

FreeBSD に インストールされたファイル

Information for rkhunter-1.4.0:
 
Files:
/usr/local/share/licenses/rkhunter-1.4.0/catalog.mk
/usr/local/share/licenses/rkhunter-1.4.0/LICENSE
/usr/local/share/licenses/rkhunter-1.4.0/GPLv2
/usr/local/man/man8/rkhunter.8.gz
/usr/local/bin/rkhunter
/usr/local/etc/periodic/security/415.rkhunter
/usr/local/etc/rkhunter.conf
/usr/local/lib/rkhunter/scripts/check_modules.pl
/usr/local/lib/rkhunter/scripts/filehashsha.pl
/usr/local/lib/rkhunter/scripts/readlink.sh
/usr/local/lib/rkhunter/scripts/stat.pl
/usr/local/var/lib/rkhunter/db/backdoorports.dat
/usr/local/var/lib/rkhunter/db/i18n/cn
/usr/local/var/lib/rkhunter/db/i18n/de
/usr/local/var/lib/rkhunter/db/i18n/en
/usr/local/var/lib/rkhunter/db/i18n/zh
/usr/local/var/lib/rkhunter/db/i18n/zh.utf8
/usr/local/var/lib/rkhunter/db/mirrors.dat
/usr/local/var/lib/rkhunter/db/programs_bad.dat
/usr/local/var/lib/rkhunter/db/suspscan.dat
/usr/local/etc/rkhunter.conf.sample
/usr/local/var/lib/rkhunter/tmp/group
/usr/local/var/lib/rkhunter/tmp/passwd
/usr/local/share/doc/rkhunter/ACKNOWLEDGMENTS
/usr/local/share/doc/rkhunter/CHANGELOG
/usr/local/share/doc/rkhunter/FAQ
/usr/local/share/doc/rkhunter/LICENSE
/usr/local/share/doc/rkhunter/README

使い方

スキャンのやり方。

env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \
	 /usr/local/bin/sudo \
	 /usr/local/bin/rkhunter --check
env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \
	 /usr/local/bin/sudo /usr/local/bin/rkhunter \
	 --check --skip-keypress

環境変数のPATHに . が入っているとエラーになります。

% /usr/local/bin/sudo /usr/local/bin/rkhunter --check
Invalid BINDIR configuration option: Invalid directory found: .

シグネチャの更新

アップデートのやり方。

env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \
	 /usr/local/bin/sudo \
	 /usr/local/bin/rkhunter --update

アップデートの実行例。

env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \
	 /usr/local/bin/sudo \
	 /usr/local/bin/rkhunter --update
[ Rootkit Hunter version 1.4.0 ]
 
Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]

cron で自動実行

FreeBSD の設定

シグネチャの自動更新と自動スキャンの設定です。

/etc/periodic.conf に設定します。

daily_rkhunter_update_enable="YES"
daily_rkhunter_update_flags="--update --nocolors"
 
daily_rkhunter_check_enable="YES"
daily_rkhunter_check_flags="--checkall --nocolors --skip-keypress"

関連項目




スポンサーリンク