System-Linux

Aller au contenu | Aller au menu | Aller à la recherche

Installation et utilisation de rkhunter l'anti rootkit

Petit tutoriel sur l'installation et la configuration de Rkhunter.

Présentation de la bête :

Rkhunter est un programme Unix qui permet de détecter les Rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il peut détecter les répertoires généralement utilisés par les rootkits. Les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux.

Téléchargement :

Il est disponible sur Sourceforge : http://sourceforge.net/project/showfiles.php?group_id=155034&package_id=172567&release_id=650418

cd /opt/SOURCES
wget http://freefr.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.4.tar.gz
tar xvzf rkhunter-1.3.4.tar.gz
cd rkhunter-1.3.4

Installation :

Il faut utiliser le script install.sh moi j'ai fais comme ceci :

mkdir -p /opt/rkhunter134
./installer.sh --layout custom /opt/rkhunter134 --install
cd /opt
ln -s rkhunter134 rkhunter

Taper juste ./install.sh et vous aurez les options d'installation.

Biensur pour les gens qui préfère utiliser leur gestionnaire de paquet :

yum install rkhunter
aptitude install rkhunter

Configuration :

Si votre installation a réussi vous devriez trouvez ici /opt/rkhunter134/etc/ ou la /etc un fichier nommé rkhunter.conf tres simple et bien commenté. L'option d'envoi de mail en cas d'alerte ou en cas de rapport de scan est sympa.

Quelques commandes :

./rkhunter --versioncheck       -> pour vérifier que vous avez la dernière version.
./rkhunter --update                -> mettre à jour rkhunter.
./rkhunter --check                  -> faire un scan de toute votre machine.

Pour éviter d'être obligé d'aller dans /opt/rkhunter134/bin/ et de taper ./ devant une commande ajouter ceci dans votre /etc/profile

pathmunge /opt/rkhunter/bin

Pour Debian et Ubuntu il suffit de rajouter /opt/rkhunter/bin dans la ligne de PATH du fichier /etc/profile.

Rkhunter automatiquement :

Le mieux pour pas avoir trop à faire :p, c'est de couplé rkhunter avec crontab comme ça il scan et se met à jour seul et vous envoi un rapport par mail.

Créer un script comme ceci adaptez le à vos besoin et contrainte.

vi auto-rkhunter.sh

#!/bin/sh
source /etc/profile
rkhunter --update && rkhunter --check

On enregistre et on le rend executable

chmod +x auto-rkhunter.sh

et vous rajoutez ceci dans votre crontab :

crontab -e

00 23 * * * /data/secu/auto-rkhunter.sh

Voila :) maintenant il faut savoir qu'il a un concurent : Chkrootkit

Par GanGan | le lundi, juin 8 2009 08:00

Commentaires

1. j0rn

mercredi, juin 10 2009 | 13:12

L'un comme l'autre (rkhunter, chkrootkit) sont de mon point de vue des daubes antédiluviennes
A leur décharge, il n'existe pas (ou de manière annecdotique, au fond d'un paper Phrack...) d'outil permettant de diagnostiquer si une machine Linux a été compromise par exemple par détournement d'un appel système ou pliage d'une interruption etc., qui sont pourtant des techniques vieilles de plus de 10 ans !

Autant dire que la seule installation de ces softs ne sert véritablement à _rien_, le mieux reste encore un bon gros GRsec qui restreindra l'accès à /dev/mem et /dev/kmem, interdire les insmod, et checker l'intégrité des exécutables avec Aide ou Tripwire, et même là on est loin d'être à l'abris
Y'a un vrai manque à ce niveau chez Linux...

Pour info, par le même auteur que rkhunter, le projet lynis est en revanche très interessant ;)
http://www.rootkit.nl/projects/lyni...

2. GanGan

mercredi, juin 10 2009 | 13:18

merci pour ton message très très intéressant !

je vais surveiller ce projet.

tu nous ferai pas un article sur Lynis ? :)

3. Kévin Hinault

jeudi, juin 11 2009 | 23:40

huhu je viens de comprendre le nom de l'application ...

... Rick Hunter :D

4. gangan

vendredi, juin 12 2009 | 10:31

c'est un site sérieux ici monsieur, alors calmé vous ! :p
tout ce qui est huhu hihi haha est strictement interdit

5. Kévin Hinault

vendredi, juin 12 2009 | 10:33

Dommage faut bien rire un peu dans ce monde de brute ! :p

(ah ah)