rkhunter
提供: セキュリティ
スポンサーリンク
rkhunter ( Rootkit Hunter ) は、ルートキット検出プログラム(Rootkit scanner)です。
読み方
目次
概要
ルートキット検出プログラム (ルートキットスキャナー) は、約 99.9% 問題のあるツールが存在しないことを確認するためのスキャニングツールです。 rkhunter は、下記のテスト方法で ルートキット、バックドア、ローカルエクスプロイトをスキャンします。
- MD5 ハッシュの比較
- ルートキットに使われるデフォルトのファイルの検索
- バイナリのまずいファイルのパーミッション
- LKM や KLD モジュール内の疑わしい文字列の検索
- 隠しファイルの検索
- プレーンテキストとバイナリファイルのオプショナルスキャン
GPL ライセンスです。
インストール
FreeBSD は、 lsof と nmap のオプションをオンにしてインストールしました。
FreeBSDにインストールする場合
ports コレクションからインストールする場合
cd /usr/ports/security/rkhunter sudo make install clean
pkgコマンドでインストールする場合
sudo pkg install rkhunter
portmasterコマンドでインストールする場合
sudo portmaster -y -d /usr/ports/security/rkhunter
portinstallコマンドでインストールする場合
sudo portinstall /usr/ports/security/rkhunter
===>>> pkg-message for rkhunter-1.4.0 ****************************************************************************** You should keep your rkhunter database up-to-date. This can be done automatically by putting this line to periodic.conf(5) files: daily_rkhunter_update_enable="YES" daily_rkhunter_update_flags="--update --nocolors" Also, you can run rkhunter as a part of the daily security check by putting this line to periodic.conf(5) files: daily_rkhunter_check_enable="YES" daily_rkhunter_check_flags="--checkall --nocolors --skip-keypress"
FreeBSD に インストールされたファイル
Information for rkhunter-1.4.0: Files: /usr/local/share/licenses/rkhunter-1.4.0/catalog.mk /usr/local/share/licenses/rkhunter-1.4.0/LICENSE /usr/local/share/licenses/rkhunter-1.4.0/GPLv2 /usr/local/man/man8/rkhunter.8.gz /usr/local/bin/rkhunter /usr/local/etc/periodic/security/415.rkhunter /usr/local/etc/rkhunter.conf /usr/local/lib/rkhunter/scripts/check_modules.pl /usr/local/lib/rkhunter/scripts/filehashsha.pl /usr/local/lib/rkhunter/scripts/readlink.sh /usr/local/lib/rkhunter/scripts/stat.pl /usr/local/var/lib/rkhunter/db/backdoorports.dat /usr/local/var/lib/rkhunter/db/i18n/cn /usr/local/var/lib/rkhunter/db/i18n/de /usr/local/var/lib/rkhunter/db/i18n/en /usr/local/var/lib/rkhunter/db/i18n/zh /usr/local/var/lib/rkhunter/db/i18n/zh.utf8 /usr/local/var/lib/rkhunter/db/mirrors.dat /usr/local/var/lib/rkhunter/db/programs_bad.dat /usr/local/var/lib/rkhunter/db/suspscan.dat /usr/local/etc/rkhunter.conf.sample /usr/local/var/lib/rkhunter/tmp/group /usr/local/var/lib/rkhunter/tmp/passwd /usr/local/share/doc/rkhunter/ACKNOWLEDGMENTS /usr/local/share/doc/rkhunter/CHANGELOG /usr/local/share/doc/rkhunter/FAQ /usr/local/share/doc/rkhunter/LICENSE /usr/local/share/doc/rkhunter/README
使い方
スキャンのやり方。
env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \ /usr/local/bin/sudo \ /usr/local/bin/rkhunter --check
env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \ /usr/local/bin/sudo /usr/local/bin/rkhunter \ --check --skip-keypress
環境変数のPATHに . が入っているとエラーになります。
% /usr/local/bin/sudo /usr/local/bin/rkhunter --check Invalid BINDIR configuration option: Invalid directory found: .
シグネチャの更新
アップデートのやり方。
env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \ /usr/local/bin/sudo \ /usr/local/bin/rkhunter --update
アップデートの実行例。
env PATH=/bin:/sbin:/usr/bin:/usr/local/sbin \ /usr/local/bin/sudo \ /usr/local/bin/rkhunter --update [ Rootkit Hunter version 1.4.0 ] Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ No update ] Checking file i18n/de [ No update ] Checking file i18n/en [ No update ] Checking file i18n/zh [ No update ] Checking file i18n/zh.utf8 [ No update ]
cron で自動実行
FreeBSD の設定
シグネチャの自動更新と自動スキャンの設定です。
/etc/periodic.conf に設定します。
daily_rkhunter_update_enable="YES" daily_rkhunter_update_flags="--update --nocolors" daily_rkhunter_check_enable="YES" daily_rkhunter_check_flags="--checkall --nocolors --skip-keypress"
ログファイル
rkhunterのログは、 /var/log/rkhunter.log に作られます。
関連項目
ツイート
スポンサーリンク