Rkhunter

De wiki.debian-fr.xyz
Aller à : navigation, rechercher

Rkhunter

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkits, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.

Source The Rootkit Hunter project

C'est le premier programme que nous installerons.

root@facteur:~# apt-get install rkhunter

Configuration rapide:

Afin d'éviter des "faux positifs" inutiles, dé-commentez les deux lignes suivantes dans /etc/rkhunter.conf

...
ALLOWHIDDENDIR=/dev/.udev
...
ALLOWHIDDENDIR=/dev/.static
...

Enfin, dans le même fichier, renseignez l'adresse de réception des rapports

...
#MAIL-ON-WARNING=me@mydomain   root@mydomain
MAIL-ON-WARNING=admin@zehome.org
...

Enfin, rechargez:

root@facteur:~# rkhunter --update

Après chaque mise à jour de votre système (installation ou remplacement de logiciel) il faudra passer la commande suivante:

# rkhunter --update; rkhunter --propupdate

Ça vous évitera d'avoir des alertes sur des faux-positifs...

Pour finir, automatiserez l'opération de mise-à-jour de rkhunter en créant ce fichier (remplacez editor par votre éditeur préféré...)

# editor /etc/apt/apt.conf.d/98-rkhunter
DPkg::Post-Invoke {
    "rkhunter --update;"
    "rkhunter --propupdate";
};

Source: 7-fichiers-suspects-avec-rkhunter

Lol 5 août 2011 à 03:59 (CDT)