Last-modified: 2013-02-11 (月) 02:58:55
chkrootkit/Debianへのインストール

概要

ルートキット検出ツール chkrootkitを導入します

手順

  1. インストール
    Everything is expanded.Everything is shortened.
      1

     

    apt-get install chkrootkit
  2. デフォルトのcronスクリプトでは物足りないので、rkhunterを真似て作成
    オリジナルに備わっているdiff機能は個人的に不要なため移植しない
    /etc/chkrootkit.confを開く
    Everything is expanded.Everything is shortened.
      1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14

    -
!
 
-
!
 
-
!
 
 
-
|
|
|

    # メール送信先
REPORT_EMAIL="[email protected]"
 
# 毎日走らせるか
CRON_DAILY_RUN="yes"
 
# nice値の指定
NICE="0"
 
 
# cron.daily以下のシェルスクリプトを変更したため無効化
#RUN_DAILY="false"
#RUN_DAILY_OPTS="-q"
#DIFF_MODE="false"
  3. /etc/cron.daily/chkrootkitを開く
    Everything is expanded.Everything is shortened.
      1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39

    -
!
-
!
 
-
!
 
-
!
 
-
-
|
!
 
-
-
|
-
!
-
!
-
-
|
|
|
|
|
|
!
-
!
|
|
|
|
|

    #!/bin/sh -e
 
# パス設定
EXE=/usr/sbin/chkrootkit
 
# パス上に存在するか
test -x $EXE || exit 0
 
# 設定ファイル読み込み
. /etc/chkrootkit.conf
 
# $NICEが指定されていなければ、0とする
if [ -z "$NICE" ]; then
    NICE=0
fi
 
# $CRON_DAILY_RUNが[Yy]*なら実行
case "$CRON_DAILY_RUN" in
    [Yy]*)
        # テンポラリファイル名作成
        OUTFILE=`mktemp` || exit 1
        # 実行
        /usr/bin/nice -n $NICE $EXE -q > $OUTFILE
        # $OUTFILEに出力があれば、メールする
        if [ -s "$OUTFILE" ]; then
        (
            echo "Subject: [$(hostname)] chkrootkit レポート(daily)"
            echo "To: $REPORT_EMAIL"
            echo ""
            cat $OUTFILE
        ) | /usr/sbin/sendmail $REPORT_EMAIL
        fi
        # テンポラリファイル削除
        rm -f $OUTFILE
        ;;
    *)
        exit 0
        ;;
esac

補足

検証時の環境