スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

rkhunterのインストールと初期設定

rootkit検出ツールのrkhunterを入れた。
ずい分前に一回やった気がするけど。。。

環境
Debian8.5

$ uname -a
Linux tminserver 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64 GNU/Linux

$ cat /etc/debian_version
8.5



インストール
リポジトリにあるのでapt-get でインストール可能

$ sudo apt-get install rkhunter
(中略)
Creating config file /etc/default/rkhunter with new version
[ Rootkit Hunter version 1.4.2 ]
File created: searched for 176 files, found 148
iproute (1:3.16.0-2) を設定しています ...
unhide (20121229-1+b1) を設定しています ...
rkhunter (1.4.2-0.4) のトリガを処理しています ...
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 176 files, found 148



バージョンとか

$ apt-cache show rkhunter
Package: rkhunter
Version: 1.4.2-0.4
(後略)



使い方

# rkhunter --update
↑update

# rkhunter --propupd
↑データベースアップデート?

# rkhunter --check --skip-keypress
非対話モードでチェック。
--report-warnings-onlyとかつけるとwarningのみ出力。

その他のオプションはhelpで。



$ rkhunter --help

Usage: rkhunter {--check | --unlock | --update | --versioncheck |
--propupd [{filename | directory | package name},...] |
--list [{tests | {lang | languages} | rootkits | perl | propfiles}] |
--config-check | --version | --help} [options]

Current options are:
--append-log Append to the logfile, do not overwrite
--bindir ... Use the specified command directories
-c, --check Check the local system
-C, --config-check Check the configuration file(s), then exit
--cs2, --color-set2 Use the second color set for output
--configfile Use the specified configuration file
--cronjob Run as a cron job
(implies -c, --sk and --nocolors options)
--dbdir Use the specified database directory
--debug Debug mode
(Do not use unless asked to do so)
--disable [,...] Disable specific tests
(Default is to disable no tests)
--display-logfile Display the logfile at the end
--enable [,...] Enable specific tests
(Default is to enable all tests)
--hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
NONE | } Use the specified file hash function
(Default is SHA1, then MD5)
-h, --help Display this help menu, then exit
--lang, --language Specify the language to use
(Default is English)
--list [tests | languages | List the available test names, languages,
rootkits | perl | rootkit names, perl module status
propfiles] or file properties database, then exit
-l, --logfile [file] Write to a logfile
(Default is /var/log/rkhunter.log)
--noappend-log Do not append to the logfile, overwrite it
--nocf Do not use the configuration file entries
for disabled tests (only valid with --disable)
--nocolors Use black and white output
--nolog Do not write to a logfile
--nomow, --no-mail-on-warning Do not send a message if warnings occur
--ns, --nosummary Do not show the summary of check results
--novl, --no-verbose-logging No verbose logging
--pkgmgr {RPM | DPKG | BSD | Use the specified package manager to obtain or
SOLARIS | NONE} verify file property values. (Default is NONE)
--propupd [file | directory | Update the entire file properties database,
package]... or just for the specified entries
-q, --quiet Quiet mode (no output at all)
--rwo, --report-warnings-only Show only warning messages
--sk, --skip-keypress Don't wait for a keypress after each test
--summary Show the summary of system check results
(This is the default)
--syslog [facility.priority] Log the check start and finish times to syslog
(Default level is authpriv.notice)
--tmpdir Use the specified temporary directory
--unlock Unlock (remove) the lock file
--update Check for updates to database files
--vl, --verbose-logging Use verbose logging (on by default)
-V, --version Display the version number, then exit
--versioncheck Check for latest version of program
-x, --autox Automatically detect if X is in use
-X, --no-autox Do not automatically detect if X is in use



とりあえず一回実行

update→propupdしてからcheck。
設定にもよるけど一回目は結構Warningが出る。

$ sudo rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ Updated ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]

$ sudo rkhunter --propupd
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 176 files, found 148

$ sudo rkhunter --check --skip-keypress
[ Rootkit Hunter version 1.4.2 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]

Checking the network...

Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ None found ]

Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for an SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Not allowed ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]


System checks summary
=====================

File properties checks...
Files checked: 148
Suspect files: 1

Rootkit checks...
Rootkits checked : 379
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 1 minute and 52 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)



設定1 -Warningを消そう-
ログは/var/log/rkhunter.logに出てるのでチェック。
問題なさそうなものはALLOWに加えたりなんだったりして。

まずはこの辺。

$ sudo cat /var/log/rkhunter.log
(中略)
[00:39:36] Checking /dev for suspicious file types [ Warning ]
[00:39:36] Warning: Suspicious file types found in /dev:
[00:39:37] /dev/shm/pulse-shm-231890104: data
[00:39:37] /dev/shm/pulse-shm-378398625: data
[00:39:37] /dev/shm/pulse-shm-3621280638: data
[00:39:37] Checking for hidden files and directories [ Warning ]
[00:39:37] Warning: Hidden directory found: /etc/.java
[00:39:37] Checking for missing log files [ Skipped ]


設定ファイルは/etc/rkhunter.conf
上記の2つ(/etc/.javaと/dev/shm/pulse-shmなんちゃら)はデフォルトで設定ファイルに入っててコメントアウトしてあるだけだった。
ので行頭のコメントアウト外す。

$ sudo emacs /etc/rkhunter.conf
(途中省略)
ALLOWHIDDENDIR=/etc/.java
(途中省略)
ALLOWDEVFILE=/dev/shm/pulse-shm-*
(後略)



次。chkconfigがスクリプトだけど大丈夫?とか聞かれてる模様。

Warning: The command '/sbin/chkconfig' has been replaced by a script: /sbin/chkconfig: Perl script, ASCII text executable



同じく設定ファイル

$ sudo emacs /etc/rkhunter.conf
(途中省略)
SCRIPTWHITELIST=/sbin/chkconfig
(後略)



Checking if SSH root access is allowed [ Warning ]


たぶんSSHのrootログインが有効になってるので警告が出てる。
公開サーバーでもないし無視することに。(公開サーバーならrootログイン禁止したほうが得策だと思う)
同じく(ry

$ sudo emacs /etc/rkhunter.conf
(途中省略)
ALLOW_SSH_ROOT_USER=yes
(後略)



上記の設定は/etc/ssh/sshd_configのPermitRootLoginの値とrkhunter.confのALLOW_SSH_ROOT_USERの値を合わせてるのが必要みたい。(コメントにunsetとか書いてあったのでunsetにしたけど警告で続けてた)
PerminRootLogin noならALLOW_SSH_ROOT_USERもno。(これがセキュリティ的に良い設定)
PermitRootLogin yesならALLOW_SSH_ROOT_USERもyes(セキュリティ的には良くない設定)
設定2 -定期実行-
/etc/cron.daily/rkhunter にcronファイルが置かれる。
けどこれの実体はスクリプトファイルで、定期実行有効にするには別途設定ファイルで設定が必要。
設定ファイルは/etc/default/rkhunter。


$ sudo emacs /etc/default/rkhunter
Set this to yes to enable rkhunter daily runs
# (default: true)
CRON_DAILY_RUN="true"

# Set this to yes to enable rkhunter weekly database updates
# (default: true)
CRON_DB_UPDATE="true"



これでupdateとrunが定期実行になったはず。
関連記事
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

コメントの投稿

管理者にだけ表示を許可する
ブログ内検索

カスタム検索

フリーエリア

クリックで救える命がある。

レンタルサーバー

さくらのマネージドサーバ
さくらインターネットのVPS
ConoHaのVPS
WebARENA VPSクラウド
99円レンタルサーバー
【CloudCore VPS】
GMOクラウドのレンタルサーバー
転送量無制限 ABLENET
@WAPPYレンタルサーバー
SPPDレンタルサーバー

カテゴリー+月別アーカイブ

 

アクセスカウンター

現在の閲覧者数:

プロフィール

Author:tmin
PCヲタ。ライト2ちゃんねら。
スロット好きのギャンブラー。(元
むしろ人生がギャンブルだが目下のところ負けっぱなし。
座右の銘は「結果オーライ」。故に基本適当。
トラブルもまた楽しみのひとつ

コメント、トラバ、相互リンク歓迎。お気軽にどうぞ。
当ブログについて
Twitterでこっちとあっちの更新情報流すことにしてみます。
http://twitter.com/t_min
Project Mikunchu♪Wikiできました。
Mikunchu200x40.png


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。