Rootkit Hunter (Hunter) – это мощный инструмент с открытым исходным кодом для Linux-систем, таких как Ubuntu 24.04, который сканирует систему на наличие локальных эксплойтов, бэкдоров и руткитов. Поэтому он является незаменимым инструментом для администраторов серверов, особенно для поддержания безопасности системы путем проверки на наличие общих признаков вредоносного программного обеспечения. Установка и использование Rootkit также просты; давайте посмотрим, как это сделать.
1. Подготовьте систему
Перед установкой пакета всегда рекомендуется убедиться, что система находится в актуальном состоянии. Поэтому используйте приведенную команду для установки обновлений безопасности и других пакетов в Ubuntu Linux.
sudo apt update && sudo apt upgrade2. Установка Rootkit Hunter на Ubuntu 24.04
Нам больше ничего не нужно добавлять в нашу систему Ubuntu, например, репозиторий для установки RootKit Hunter. Пакеты для установки этого инструмента безопасности уже доступны в системных репозиториях Ubuntu по умолчанию. Поэтому воспользуйтесь приведенной командой APT, и Hunter появится в вашей системе.
sudo apt install rkhunter
Система запросит конфигурацию вашего почтового сервера для отправки по электронной почте уведомлений о предупреждениях, отчетах о потенциальных угрозах и результатах сканирования, созданных RootKit. Выберите тот, который подходит для вашей среды.
3. Обновление определений Rootkit Hunter
После завершения установки первым делом необходимо убедиться в том, что файлы базы данных RootKit Hunter обновлены. Это позволит убедиться в том, что он имеет самую свежую информацию о потенциальных угрозах.
sudo rkhunter --update
Если после выполнения приведенной выше команды вы получите следующую ошибку:
Неверный WEB_CMD параметр конфигурации: Относительное имя пути: “/bin/false“
Затем нам нужно отредактировать файл конфигурации Hunter:
sudo nano /etc/rkhunter.confПосле этого прокрутите файл и найдите строку “WEB_CMD=”/bin/false” и измените его на:
WEB_CMD=""
Также измените значения параметров “MIRRORS_MODE=1” и “UPDATE_MIRRORS=0”, как показано ниже:
UPDATE_MIRRORS=1
MIRRORS_MODE=0Сохраните файл, нажав Ctrl+X, [Y, , а затем нажать Введите Ключ.
4. Запустите Rootkit Hunter для сканирования Ubuntu
Мы готовы просканировать нашу систему Ubuntu 24.04 с помощью RootKit Hunter. Просто запустите указанную команду, и она проверит вашу систему на наличие руткитов, бэкдоров и возможных локальных эксплойтов.
sudo rkhunter --checkallВо время сканирования Rootkit Hunter выдает подробную информацию о том, что проверяется во время сканирования. Вполне нормально видеть сочетание “OK” и “Предупреждение” статусы.
5. Автоматизация ежедневных проверок и сканирования
Мы можем создать задание cron для автоматического запуска Rootkit Hunter, сканирования системы и отправки результатов по электронной почте.
Откройте файл crontab для редактирования:
sudo crontab -eДобавьте следующую строку, чтобы запланировать ежедневное сканирование в 2 часа ночи (настройте время по мере необходимости):
0 2 * * * /usr/bin/rkhunter --cronjob --report-warnings-only --append-logЭта команда планирует запуск Rootkit Hunter как задание cron и добавляет файл журнала, сообщая только о предупреждениях.
6. Сбросить предупреждения и очистить историю
Rootkit Hunter может выдавать предупреждения по вполне обоснованным причинам (например, при обновлении или установке нового программного обеспечения). Просмотрев предупреждения и убедившись в их безопасности, мы можем очистить их с помощью команды . После проверки чистоты системы она обновит базу данных свойств.
Чтобы очистить историю известных подходящих файлов и сбросить предупреждения, выполните следующее:
sudo rkhunter --propupd7. Просмотр подробного журнала результатов сканирования
После завершения сканирования Rootkit Hunter обобщает потенциальные проблемы, чтобы просмотреть результаты и определить, требуют ли какие-либо предупреждения принятия мер. Чтобы просмотреть подробный журнал результатов сканирования, мы можем открыть файл журнала:
sudo less /var/log/rkhunter.logНайдите предупреждения в журнале, набрав:
/WarningЭта команда позволяет циклически просматривать предупреждения в файле журнала.
8. Удаление Rootkit Hunter
Хотя Rootkit Hunter является незаменимым инструментом для системных администраторов и экспертов по безопасности, мы можем удалить его с помощью следующей команды из Ubuntu 24.04, если он больше не нужен.
sudo apt remove rkhunter -y