Как установить и настроить Rootkit Hunter на Ubuntu/Debian

at0mSec

Rkhunter (Rootkit Hunter) это инструмент, который сканирует систему на наличие руткитов, бэкдоров и возможных локальных эксплойтов. Это бесплатный инструмент безопасности с открытым исходным кодом, работающий в Linux и Unix-подобных системах. Rkhunter — это мощный инструмент, который может помочь вам обнаружить и предотвратить потенциальные угрозы безопасности в вашей системе. В этой статье мы покажем вам, как установить и настроить Rkhunter на Ubuntu/Debian.

Шаг 1: Обновление системы

Перед установкой Rkhunter необходимо обновить систему до последней версии. Чтобы обновить систему, выполните следующие команды:

$ sudo apt update
$ sudo apt upgrade

Шаг 2: Установка Rkhunter

Чтобы установить Rkhunter, выполните следующую команду:

$ sudo apt install rkhunter

Это приведет к установке Rkhunter и его зависимостей на вашу систему.

Шаг 3: Настройте Rkhunter

После установки Rkhunter необходимо настроить его на сканирование системы на наличие потенциальных угроз. Для этого необходимо отредактировать файл конфигурации Rkhunter.

$ sudo nano /etc/rkhunter.conf

Для этого откройте файл конфигурации Rkhunter в текстовом редакторе Nano.

Шаг 4: Установите необходимые параметры

В конфигурационном файле Rkhunter необходимо установить следующие параметры:

  • UPDATE_MIRRORS: Эта опция позволяет Rkhunter обновлять свою базу данных известных руткитов и вредоносных программ. Установите этот параметр на 1.
  • CRON_DAILY_RUN: Эта опция позволяет Rkhunter выполнять ежедневное сканирование вашей системы. Установите этот параметр на true.
  • REPORT_EMAIL: Эта опция задает адрес электронной почты, на который Rkhunter будет отправлять ежедневные отчеты о сканировании. Установите этот параметр на свой адрес электронной почты.
  • ALLOW_SSH_ROOT_USER: Эта опция позволяет Rkhunter сканировать SSH-файлы корневого пользователя. Установите этот параметр в no.
  • ALLOW_SSH_PROT_V1: Эта опция позволяет Rkhunter сканировать файлы SSH версии 1. Установите этот параметр в 2.
  • ALLOW_SYSLOG_REMOTE: Эта опция позволяет Rkhunter сканировать удаленные серверы syslog. Установите этот параметр в no.
  • USE_SYSLOG: Эта опция позволяет Rkhunter записывать свои действия в системный журнал. Установите этот параметр в authpriv.notice.

После установки необходимых параметров сохраните и закройте файл конфигурации Rkhunter.

Шаг 5: Обновление базы данных Rkhunter

Перед запуском сканирования Rkhunter необходимо обновить его базу данных известных руткитов и вредоносных программ. Для этого выполните следующую команду:

$ sudo rkhunter --update

Это приведет к обновлению базы данных Rkhunter в вашей системе.

Шаг 6: Запустите сканирование Rkhunter

Чтобы запустить сканирование Rkhunter, выполните следующую команду:

$ sudo rkhunter --check

Это проверит вашу систему на наличие потенциальных руткитов и вредоносных программ.

Шаг 7: Просмотрите отчет Rkhunter

После завершения сканирования Rkhunter необходимо просмотреть отчет Rkhunter, чтобы выявить все потенциальные угрозы. Отчет Rkhunter находится в следующем файле:

/var/log/rkhunter.log

Откройте отчет Rkhunter с помощью следующей команды:

$ sudo nano /var/log/rkhunter.log

Это откроет отчет Rkhunter в текстовом редакторе Nano.

Просмотрите отчет Rkhunter, чтобы выявить все потенциальные угрозы. Если вы обнаружили потенциальные угрозы, необходимо провести дальнейшее расследование.

Шаг 8: Автоматизация сканирования Rkhunter

Чтобы убедиться, что ваша система постоянно сканируется на предмет потенциальных угроз безопасности, вы можете автоматизировать сканирование Rkhunter с помощью задания cron. Для этого выполните следующие шаги:

  1. Откройте файл конфигурации crontab с помощью следующей команды:Скопируйте кодsudo crontab -e
  2. Добавьте следующую строку в нижней части файла, чтобы запланировать ежедневное сканирование Rkhunter:sqlКопировать код@daily /usr/bin/rkhunter --cronjob --update --quiet Это запустит ежедневное сканирование Rkhunter и обновит базу данных Rkhunter. Код --quiet указывает Rkhunter работать в тихом режиме, что означает, что он будет сообщать только о потенциальных угрозах.
  3. Сохраните и закройте файл конфигурации crontab.

Теперь Rkhunter будет выполнять ежедневное сканирование вашей системы и отправлять отчеты на адрес электронной почты, указанный в файле конфигурации Rkhunter.

Заключение

Rkhunter — это эффективный инструмент для выявления и предотвращения потенциальных рисков безопасности в вашей системе. В этой статье мы показали, как установить и настроить Rkhunter на Ubuntu/Debian. Мы также показали, как запускать сканирование Rkhunter и просматривать отчеты Rkhunter. Наконец, мы показали, как автоматизировать сканирование Rkhunter с помощью задания cron. Выполнив эти шаги, вы сможете обеспечить безопасность своей системы и защитить ее от потенциальных угроз безопасности.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *