概要 †
ルートキット検出ツール chkrootkitを導入します
手順 †
- インストール
1
|
| apt-get install chkrootkit
|
- デフォルトのcronスクリプトでは物足りないので、rkhunterを真似て作成
オリジナルに備わっているdiff機能は個人的に不要なため移植しない
/etc/chkrootkit.confを開く
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| -
!
-
!
-
!
-
|
|
|
| REPORT_EMAIL="[email protected]"
CRON_DAILY_RUN="yes"
NICE="0"
|
- /etc/cron.daily/chkrootkitを開く
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| -
!
-
!
-
!
-
!
-
-
|
!
-
-
|
-
!
-
!
-
-
|
|
|
|
|
|
!
-
!
|
|
|
|
|
|
EXE=/usr/sbin/chkrootkit
test -x $EXE || exit 0
. /etc/chkrootkit.conf
if [ -z "$NICE" ]; then
NICE=0
fi
case "$CRON_DAILY_RUN" in
[Yy]*)
OUTFILE=`mktemp` || exit 1
/usr/bin/nice -n $NICE $EXE -q > $OUTFILE
if [ -s "$OUTFILE" ]; then
(
echo "Subject: [$(hostname)] chkrootkit レポート(daily)"
echo "To: $REPORT_EMAIL"
echo ""
cat $OUTFILE
) | /usr/sbin/sendmail $REPORT_EMAIL
fi
rm -f $OUTFILE
;;
*)
exit 0
;;
esac
|
補足 †
- 常に本体を最新版にしておくことが望ましい。
- 標準コマンドが改竄されている場合は、正しくチェックできないことを認識しておく。
検証時の環境 †
- Debian Lenny x86
- chkrootkit 0.48
- rkhunter 1.3.2