Poisid, kui olete tecmint.com korrapärane lugeja, märkate, et see on meie kolmas artikkel turvavahendite kohta. Kahes eelmises artiklis oleme andnud teile kõik juhised turvamise kohta Apache ja Linuxi süsteemid alates Pahavara, DOS, ja DDOS rünnakuid kasutades mod_security ja mod_evasive ja LMD (Linuxi pahavara tuvastamine).
Jällegi oleme siin, et tutvustada uut turvatööriista nimega Rkhunter (Rootkit Hunter). See artikkel juhendab teid installimise ja konfigureerimise kohta RKH (RootKit Hunter) Linuxi süsteemides, kasutades lähtekoodi.
Rkhunter (Rootkit Hunter) on avatud lähtekoodiga Unix/Linuxil põhinev skanneritööriist Linuxi süsteemidele, mis on välja antud all GPL mis skannib teie süsteemides tagauksi, juurkomplekte ja kohalikku kasutamist.
See skannib peidetud faile, binaarfailidele seatud valesid õigusi, tuuma kahtlaseid stringe jne. Rkhunteri ja selle funktsioonide kohta lisateabe saamiseks külastage http://rkhunter.sourceforge.net/.
Esiteks laadige alla uusim stabiilne versioon Rkhunter tööriist, minnes aadressile http://rkhunter.sourceforge.net/ või kasutage allolevat Wget käsk selle allalaadimiseks oma süsteemidesse.
# cd /tmp. # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
Kui olete uusima versiooni alla laadinud, käivitage järgmised käsud a juur kasutajal seda installida.
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6. # ./installer.sh -default outlayout -installi
Süsteemi kontrollimine: Rootkit Hunteri installifailid: leitud Veebifaili allalaadimise käsk: wget leitud. Installimise alustamine: installikataloogi "/usr/local" kontrollimine: see on olemas ja kirjutatav. Installikataloogide kontrollimine: Kataloog /usr/local/share/doc/rkhunter-1.4.2: loomine: OK Kataloog/usr/local/share/man/man8: on olemas ja kirjutatav. Kataloog /etc: on olemas ja kirjutatav. Kataloog/usr/local/bin: on olemas ja kirjutatav. Kataloog/usr/local/lib64: on olemas ja kirjutatav. Kataloog /var /lib: on olemas ja kirjutatav. Kataloog/usr/local/lib64/rkhunter/scripts: loomine: OK Kataloog/var/lib/rkhunter/db: loomine: OK kataloog/var/lib/rkhunter/tmp: loomine: OK kataloog/var/lib/rkhunter/db /i18n: loomine: OK Kataloog/var/lib/rkhunter/db/signatures: loomine: OK Installimine check_modules.pl: OK Installimine filehashsha.pl: OK Installi stat.pl: OK Installimine readlink.sh: OK Backdoorports.dat installimine: OK Mirrors.dat installimine: OK Programmid_bad.dat installimine: OK Suspscan.dat installimine: OK Rkhunter.8 installimine: OK Installimine TUNNUSTUSED: OK Installimine CHANGELOG: OK Paigaldamine KKK: OK Litsentsi installimine: OK README installimine: OK Keeletoetusfailide installimine: OK ClamAV -i allkirjade installimine: OK Rkhunteri installimine: OK Installimine rkhunter.conf: OK. Installimine lõpetatud.
Käivitage RKH uuendaja andmebaasi atribuutide täitmiseks, käivitades järgmise käsu.
#/usr/local/bin/rkhunter -uuenda. #/usr/local/bin/rkhunter --propupd
[Rootkit Hunteri versioon 1.4.6] rkhunteri andmefailide kontrollimine... Faili kontrollimine mirrors.dat [Värskendatud] Failiprogrammide kontrollimine_bad.dat [värskendust pole] Faili backdoorports.dat kontrollimine [värskendust pole] Faili kontrollimine suspscan.dat [värskendust pole] Faili kontrollimine i18n/cn [värskendust pole] Faili kontrollimine i18n/de [värskendust pole] Faili kontrollimine i18n/et [värskendust pole] Faili kontrollimine i18n/tr [värskendust pole] Faili kontrollimine i18n/tr.utf8 [värskendust pole] Faili kontrollimine i18n/zh [värskendust pole] Faili kontrollimine i18n/zh.utf8 [värskendust pole] Faili kontrollimine i18n/ja [värskendust pole] Fail loodud: otsitud 177 faili, leitud 131, puuduvad räsid 1.
Looge fail nimega rkhunter.sh all /etc/cron.daily/, mis seejärel skannib teie failisüsteemi iga päev ja saadab meiliteatised teie e -posti aadressile. Looge oma lemmikredaktori abil järgmine fail.
# vi /etc/cron.daily/rkhunter.sh
Lisage sellele järgmised koodiridad ja asendage "Teie serveri nimi siin"Oma"Serveri nimi"Ja"[e -post kaitstud]"Oma"E-kirja ID“.
#!/bin/sh. ( /usr/local/bin/rkhunter --versioncheck. /usr/local/bin/rkhunter -uuenda. /usr/local/bin/rkhunter --cronjob-report-warnings-only. ) | /bin/mail -s 'rkhunter Daily Run (Pane oma serveri nimi siia)' [e -post kaitstud]
Määrake failil käivitusluba.
# chmod 755 /etc/cron.daily/rkhunter.sh
Kogu failisüsteemi skannimiseks käivitage Rkhunter juurkasutajana.
# rkhunter -kontrollige
[Rootkit Hunteri versioon 1.4.6] Süsteemi käskude kontrollimine... Käskude 'stringid' täitmine Käskude 'stringid' kontrollimine [OK] Jagatud teekide kontrollide tegemine Muutujate eellaadimise kontrollimine [Ei leitud] Eelsalvestatud teekide kontrollimine [Puudub leitud] Muutuja LD_LIBRARY_PATH kontrollimine [Ei leitud] Faili omaduste kontrollimine Eeltingimuste kontrollimine [OK]/usr/local/bin/rkhunter [OK]/usr/sbin/adduser [OK] /usr/sbin/chkconfig [OK]/usr/sbin/chroot [OK]/usr/sbin/depmod [OK]/usr/sbin/fsck [OK]/usr/sbin/fuser [OK]/usr/sbin/ groupadd [OK]/usr/sbin/groupdel [OK]/usr/sbin/groupmod [OK] /usr/sbin/grpck [OK]/usr/sbin/ifconfig [OK]/usr/sbin/ifdown [Hoiatus]/usr/sbin/ifup [Hoiatus]/usr/sbin/init [OK]/usr/sbin/ insmod [OK]/usr/sbin/ip [OK]/usr/sbin/lsmod [OK] /usr/sbin/lsof [OK]/usr/sbin/modinfo [OK]/usr/sbin/modprobe [OK]/usr/sbin/nologin [OK]/usr/sbin/pwck [OK]/usr/sbin/ rmmod [OK]/usr/sbin/route [OK]/usr/sbin/rsyslogd [OK] /usr/sbin/runlevel [OK]/usr/sbin/sestatus [OK]/usr/sbin/sshd [OK]/usr/sbin/sulogin [OK]/usr/sbin/sysctl [OK]/usr/sbin/ tcpd [OK]/usr/sbin/useradd [OK]/usr/sbin/userdel [OK] /usr/sbin/usermod [OK]... [Jätkamiseks vajutage] Juurikomplektide kontrollimine... Tuntud juurkomplekti failide ja kataloogide kontrollimine 55808 Trooja - variant A [Ei leitud] ADM -uss [Ei leitud] AjaKit Rootkit [Ei leitud] Adore Rootkit [Ei leitud] aPa Kit [Ei leitud]... [Jätkamiseks vajutage] Täiendavate juurkomplekti kontrollide tegemine Suckit Rookit lisakontrollid [OK] Kontrollimine võimalikud juurkomplekti failid ja kataloogid [Ei leitud] Võimalike juurkomplekti stringide kontrollimine [Ei leitud]... [Jätkamiseks vajutage] Võrgu kontrollimine... Võrguportide kontrollimine Tagaukse portide kontrollimine [Ei leitud]... Süsteemi konfiguratsioonifailide kontrollimine SSH konfiguratsioonifaili kontrollimine [Leitud] Kontrollimine, kas SSH juurjuurdepääs on lubatud [Hoiatus] Kontrollimine, kas SSH -protokoll v1 on lubatud [ Hoiatus] Töötava süsteemi logimise deemoni kontrollimine [Leitud] Süsteemi logimise konfiguratsioonifaili kontrollimine [Leitud] Kontrollimine, kas syslogi kauglogimine on lubatud [Pole lubatud] ]... Süsteemi kontrollide kokkuvõte. Faili atribuutide kontroll... Kontrollitud failid: 137 Kahtlased failid: 6 juurkomplekti kontroll... Kontrollitud juurkomplektid: 383 Võimalikud juurkomplektid: 0 Rakenduste kontroll... Kontrollitud rakendused: 5 Kahtlased rakendused: 2 Süsteemikontrollid kestsid: 5 minutit ja 38 sekundit Kõik tulemused on olemas logifaili kirjutatud: /var/log/rkhunter.log Üks või mitu hoiatust leiti kontrollimisel süsteem. Palun kontrollige logifaili (/var/log/rkhunter.log)
Ülaltoodud käsk genereerib logifaili /var/log/rkhunter.log tehtud kontrollitulemustega Rkhunter.
# kass /var/log/rkhunter.log.
[11:21:04] Rootkit Hunteri versioon 1.4.6 jookseb tecmintil. [11:21:04] [11:21:04] Info: Alguskuupäev on E 21. detsember 11:21:04 IST 2020. [11:21:04] [11:21:04] Konfiguratsioonifaili ja käsurea valikute kontrollimine... [11:21:04] Info: Tuvastatud operatsioonisüsteem on „Linux” [11:21:04] Info: leitud O/S nimi: Fedora release 33 (Thirty Three) [11:21:04] Info: Käsureal on/usr/local/bin/rkhunter --check. [11:21:04] Info: Keskkonna kest on /bin /bash; rkhunter kasutab bashi. [11:21:04] Info: konfiguratsioonifaili "/etc/rkhunter.conf" kasutamine [11:21:04] Info: Installikataloog on '/usr/local' [11:21:04] Info: keele "en" kasutamine [11:21:04] Info: andmebaasi kataloogina kasutatakse faili „/var/lib/rkhunter/db”. [11:21:04] Info: "/usr/local/lib64/rkhunter/scripts" kasutamine tugiskriptide kataloogina. [11:21:04] Info: Kasutades käsureale katalooge '/usr/local/sbin/usr/local/bin/usr/sbin/usr/bin/bin/sbin/usr/libexec/usr/local/libexec'. [11:21:04] Info: Kasutades ajutist kataloogi '/var/lib/rkhunter/tmp'. [11:21:04] Info: e-posti hoiatamise aadressi pole konfigureeritud. [11:21:04] Info: X tuvastatakse automaatselt. [11:21:04] Info: Leidsime käsu basename:/usr/bin/basename. [11:21:04] Info: Leidsime käsu "diff":/usr/bin/diff. [11:21:04] Info: Leidsime käsu 'dirname':/usr/bin/dirname. [11:21:04] Info: Leidsime käsu 'fail':/usr/bin/file. [11:21:04] Info: Leiti käsk leida:/usr/bin/find. [11:21:04] Info: Leidsime käsu ifconfig:/usr/sbin/ifconfig. [11:21:04] Info: Leidsime käsu „ip”:/usr/sbin/ip. [11:21:04] Info: Leidsin käsu „ipcs”:/usr/bin/ipcs. [11:21:04] Info: Leidsime käsu ldd:/usr/bin/ldd. [11:21:04] Info: Leidsime käsu lsattr:/usr/bin/lsattr ...
Lisateabe ja valikute saamiseks käivitage järgmine käsk.
# rkhunter -abi
Kui teile see artikkel meeldis, on jagamine õige viis tänada.