Как да инсталирате rkhunter на Ubuntu

Rkhunterе софтуер, който намира руткити на Linux сървър. Руткитите се инсталират от хакери, така че те винаги да имат достъп до сървъра. В този документ ще можете да видите как можете да предотвратите използването rkhunterна руткити в Ubuntu.

Стъпка 1: Инсталиране на предпоставките

Трябва да инсталираме редица предпоставки, за да използваме правилно rkhunter:

apt-get install binutils libreadline5 libruby ruby ruby ssl-cert unhide.rb mailutils

След като инсталацията приключи, можете да продължите към следващата стъпка.

Стъпка 2: Инсталиране rkhunter

Ще изтеглим rkhunterс помощта на wget. Ако wgetвсе още не е инсталиран на вашата система, изпълнете:

apt-get install wget

Сега изтеглете rkhunter:

wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

Разархивирайте изтеглянето:

tar xzvf rkhunter*

Придвижете се до rkhunterдиректорията:

cd rkhunter*

Инсталирайте rkhunter:

./installer.sh --layout /usr --install

Резултатът от инсталацията трябва да бъде подобен на този:

Checking system for:
 Rootkit Hunter installer files: found
 A web file download command: wget found
Starting installation:
 Checking installation directory "/usr": it exists and is writable.
 Checking installation directories:
  Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
  Directory /usr/share/man/man8: exists and is writable.
  Directory /etc: exists and is writable.
  Directory /usr/bin: exists and is writable.
  Directory /usr/lib: exists and is writable.
  Directory /var/lib: exists and is writable.
  Directory /usr/lib/rkhunter/scripts: creating: OK
  Directory /var/lib/rkhunter/db: creating: OK
  Directory /var/lib/rkhunter/tmp: creating: OK
  Directory /var/lib/rkhunter/db/i18n: creating: OK
  Directory /var/lib/rkhunter/db/signatures: creating: OK
 Installing check_modules.pl: OK
 Installing filehashsha.pl: OK
 Installing stat.pl: OK
 Installing readlink.sh: OK
 Installing backdoorports.dat: OK
 Installing mirrors.dat: OK
 Installing programs_bad.dat: OK
 Installing suspscan.dat: OK
 Installing rkhunter.8: OK
 Installing ACKNOWLEDGMENTS: OK
 Installing CHANGELOG: OK
 Installing FAQ: OK
 Installing LICENSE: OK
 Installing README: OK
 Installing language support files: OK
 Installing ClamAV signatures: OK
 Installing rkhunter: OK
 Installing rkhunter.conf: OK
Installation complete

Стъпка 3: Използване rkhunter

Файловете с данни съхраняват информация за възможни заплахи.

Редовното актуализиране на вашите файлове с данни е необходимо за актуална система. Можете да ги актуализирате с помощта на rkhunterкомандата:

rkhunter --update

Това ще изведе списък с файлове с данни, които са били актуализирани и тези, които не са били актуализирани:

[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ Updated ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]

Вече сме готови да извършим първия си тест. Тестът ще търси известни руткити и общи проблеми със сигурността (като root достъп през SSH) и ще регистрира резултатите си. Ще трябва ръчно да натиснете "Enter", за да продължите след проверките.

След теста можем да видим грешки и предупреждения:

cat /var/log/rkhunter.log

Стъпка 4: Активиране на известия по имейл

Rkhunterможе да бъде конфигуриран да изпраща имейл, когато бъде открита заплаха. За да конфигурирате тази функция, започнете, като отворите rkhunter.confфайла:

vi /etc/rkhunter.conf

Потърсете MAIL-ON-WARNING, след което добавете имейл адрес.

По избор можете да превъртите конфигурацията за повече опции, но по подразбиране тя трябва да работи добре. Можете да проверите вашия конфигурационен файл:

rkhunter -C

Ако няма изход, вашият конфигурационен файл е валиден.