概要 †
ルートキット検出ツール RootkitHunterを導入します
手順 †
- インストール
- /etc/rkhunter.confを開く
必要な場合、設定を変更します
1
2
3
4
5
6
7
| -
!
-
!
-
|
!
| LOGFILE=/var/log/rkhunter/log
APPEND_LOG=0
USE_SYSLOG=authpriv.info
|
- /etc/sysconfig/rkhunterを開く
必要な場合、設定を変更します
- /etc/cron.dailyにrkhunterスクリプトが作成されているので確認
下のコードはオリジナルにコメントを付加したのと、メールの件名を変えたのと、ログのパスを変更したのみ
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
| -
!
-
!
-
!
-
-
-
!
-
-
|
|
|
!
-
-
|
|
|
!
|
-
!
|
|
-
-
-
!
|
-
!
|
|
|
|
-
-
|
!
-
!
!
|
-
!
!
-
!
-
!
|
XITVAL=0
TMPFILE1=`/bin/mktemp -p /var/run/rkhunter rkhcronlog.XXXXXXXXXX` || exit 1
if [ ! -e /var/lock/subsys/rkhunter ]; then
/bin/touch /var/lock/subsys/rkhunter
if [ -e /etc/sysconfig/rkhunter ] ; then
. /etc/sysconfig/rkhunter
else
MAILTO=root@localhost
fi
if [ "$DIAG_SCAN" == "yes" ]; then
RKHUNTER_FLAGS="--checkall --skip-keypress --nocolors --quiet --appendlog --display-logfile"
else
RKHUNTER_FLAGS="--cronjob --nocolors --report-warnings-only"
fi
RKHUNTER=/usr/bin/rkhunter
LOGFILE=/var/log/rkhunter/rkhunter/log
if [ -x $RKHUNTER ]; then
/bin/echo -e "\n--------------------- Start Rootkit Hunter Update ---------------------" > $TMPFILE1
/bin/nice -n 10 $RKHUNTER --update --nocolors 2>&1 >> $TMPFILE1
/bin/echo -e "\n---------------------- Start Rootkit Hunter Scan ----------------------" >> $TMPFILE1
/bin/nice -n 10 $RKHUNTER $RKHUNTER_FLAGS 2>&1 >> $TMPFILE1
XITVAL=$?
/bin/echo -e "\n----------------------- End Rootkit Hunter Scan -----------------------" >> $TMPFILE1
if [ $XITVAL != 0 ]; then
/bin/cat $TMPFILE1 | /bin/mail -s "[$(hostname)] rkhunter レポート(daily)" $MAILTO
fi
/bin/cat $TMPFILE1 >> $LOGFILE
fi
/bin/rm -f /var/lock/subsys/rkhunter
fi
/bin/rm -f $TMPFILE1
exit $XITVAL
|
補足 †
- 常に本体を最新版にしておくことが望ましい。
- 標準コマンドが改竄されている場合は、正しくチェックできないことを認識しておく。
検証時の環境 †
- CentOS 5.4 x86
- chkrootkit 0.48
- rkhunter 1.3.4