Tabela de Conteúdos
Página desactualizada Esta página contém uma versão anterior deste guia que pode estar desatualizada. Para a consultar a versão mais recente clique aqui.
7.2.1 Rootkit Hunter
Objectivo
Instalar o pacote rkhunter, um sistema de detecção de rootkits que avisa por email se detectar um rootkit.
Instalação
server:~# apt-get install rkhunter
Configuração
A configuração por omissão do pacote rkhunter é normalmente suficiente: o ficheiro /etc/default/rkhunter define que a actualização da base de dados é feita semanalmente, a verificação da existência de rootkits é feita diariamente, e os resultados são enviados por email para o administrador de sistema (root).
No entanto, o ficheiro /usr/share/doc/rkhunter/README.Debian adverte para alguns “falsos alarmes”, associados a directorias escondidas, que poderão ocorrer numa instalação Debian. Esses falsos alarmes poderão ser eliminados, permitido essas directorias escondidas. Essa configuração é efectuada no ficheiro /etc/rkhunter.conf:
# [...] # Allow hidden directory # One directory per line (use multiple ALLOWHIDDENDIR lines) # ALLOWHIDDENDIR=/etc/.java ALLOWHIDDENDIR=/dev/.udev ALLOWHIDDENDIR=/dev/.udevdb ALLOWHIDDENDIR=/dev/.udev.tdb ALLOWHIDDENDIR=/dev/.static ALLOWHIDDENDIR=/dev/.initramfs ALLOWHIDDENDIR=/dev/.SRC-unix # [...]
Utilização
O rkhunter pode ser executado na linha de comandos:
server:~# rkhunter --checkall Rootkit Hunter 1.2.9 is running Determining OS... Ready Checking binaries * Selftests Strings (command) [ OK ] * System tools Performing 'known bad' check... /bin/cat [ OK ] /bin/chmod [ OK ] /bin/chown [ OK ] /bin/date [ OK ] /bin/df [ OK ] /bin/dmesg [ OK ] /bin/echo [ OK ] /bin/ed [ OK ] /bin/egrep [ OK ] /bin/fgrep [ OK ] /bin/grep [ OK ] /bin/kill [ OK ] /bin/login [ OK ] /bin/ls [ OK ] # [...] ---------------------------- Scan results ---------------------------- MD5 scan Scanned files: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 0 Scanning took 21 seconds ----------------------------------------------------------------------- Do you have some problems, undetected rootkits, false positives, ideas or suggestions? Please e-mail us through the Rootkit Hunter mailinglist at rkhunter-users@lists.sourceforge.net. -----------------------------------------------------------------------
Actualização da base de dados
A base de dados do rkhunter é actualizada semanal e automaticamente. No entanto, é possível proceder à sua actualização sempre que se quiser:
server:~# rkhunter --update Running updater... Mirrorfile /var/lib/rkhunter/db/mirrors.dat rotated Using mirror http://rkhunter.sourceforge.net [DB] Mirror file : Up to date [DB] MD5 hashes system binaries : Up to date [DB] Operating System information : Up to date [DB] MD5 blacklisted tools/binaries : Up to date [DB] Known good program versions : Up to date [DB] Known bad program versions : Up to date Ready.
Links relacionados
- The Rootkit Hunter project (*http://rkhunter.sourceforge.net/)