概要 †
ルートキット検出ツール chkrootkitを導入します。
手順 †
- インストール
- デフォルトではcronスクリプトが無いので作成
/etc/default/chkrootkit.conf作成
- アクセス権変更
1
|
| chmod 600 /etc/default/chkrootkit.conf
|
- /etc/cron.daily/chkrootkit作成
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| -
!
-
!
-
!
-
!
-
-
|
!
-
-
|
-
!
-
!
-
-
|
!
-
!
|
|
|
|
|
|
EXE=/usr/sbin/chkrootkit
test -x $EXE || exit 0
. /etc/default/chkrootkit.conf
if [ -z "$NICE" ]; then
NICE=0
fi
case "$CRON_DAILY_RUN" in
[Yy]*)
OUTFILE=`/bin/mktemp` || exit 1
/bin/nice -n $NICE $EXE -q > $OUTFILE
if [ -s "$OUTFILE" ]; then
/bin/cat $OUTFILE | /bin/mail -s "[$(hostname)] chkrootkit レポート(daily)" $REPORT_EMAIL
fi
/bin/rm -f $OUTFILE
;;
*)
exit 0
;;
esac
|
補足 †
- 常に本体を最新版にしておくことが望ましい。
- 標準コマンドが改竄されている場合は、正しくチェックできないことを認識しておく。
検証時の環境 †
- CentOS 5.4 x86
- chkrootkit 0.48
- rkhunter 1.3.4