Last-modified: 2013-02-11 (月) 02:55:10
chkrootkit/CentOSへのインストール

概要

ルートキット検出ツール chkrootkitを導入します。

手順

  1. インストール
    Everything is expanded.Everything is shortened.
      1

     

    yum install chkrootkit
  2. デフォルトではcronスクリプトが無いので作成
    /etc/default/chkrootkit.conf作成
    Everything is expanded.Everything is shortened.
      1
  2
  3
  4
  5
  6
  7
  8

    -
!
 
-
!
 
-
!

    # メール送信先
REPORT_EMAIL="[email protected]"
 
# 毎日走らせるか
CRON_DAILY_RUN="yes"
 
# nice値の指定
NICE="0"
  3. アクセス権変更
    Everything is expanded.Everything is shortened.
      1

     

    chmod 600 /etc/default/chkrootkit.conf
  4. /etc/cron.daily/chkrootkit作成
    Everything is expanded.Everything is shortened.
      1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34

    -
!
-
!
 
-
!
 
-
!
 
-
-
|
!
 
-
-
|
-
!
-
!
-
-
|
!
-
!
|
|
|
|
|

    #!/bin/sh
 
# パス設定
EXE=/usr/sbin/chkrootkit
 
# パス上に存在するか
test -x $EXE || exit 0
 
# 設定ファイル読み込み
. /etc/default/chkrootkit.conf
 
# $NICEが指定されていなければ、0とする
if [ -z "$NICE" ]; then
    NICE=0
fi
 
# $CRON_DAILY_RUNが[Yy]*なら実行
case "$CRON_DAILY_RUN" in
    [Yy]*)
        # テンポラリファイル名作成
        OUTFILE=`/bin/mktemp` || exit 1
        # 実行
        /bin/nice -n $NICE $EXE -q > $OUTFILE
        # $OUTFILEに出力があれば、メールする
        if [ -s "$OUTFILE" ]; then
            /bin/cat $OUTFILE | /bin/mail -s "[$(hostname)] chkrootkit レポート(daily)" $REPORT_EMAIL
        fi
        # テンポラリファイル削除
        /bin/rm -f $OUTFILE
        ;;
    *)
        exit 0
        ;;
esac

補足

検証時の環境