Rkhunter steht für „Rootkit Hunter“ und ist ein kostenloser Open-Source-Schwachstellenscanner für Linux-Betriebssysteme. Er scannt nach Rootkits und anderen möglichen Schwachstellen, einschließlich versteckter Dateien, falscher Berechtigungen für Binärdateien , verdächtige Zeichenfolgen im Kernel usw. Es vergleicht die SHA-1-Hashes aller Dateien in Ihrem lokalen System mit den bekannten guten Hashes in einer Online-Datenbank. Es überprüft auch die lokalen Systembefehle, Startdateien und Netzwerkschnittstellen auf lauschende Dienste und Anwendungen .
In diesem Tutorial erklären wir, wie Rkhunter auf einem Debian 10-Server installiert und verwendet wird.
Voraussetzungen
- Ein Server mit Debian 10.
- Auf dem Server ist ein Root-Passwort konfiguriert.
Rkhunter installieren und konfigurieren
Standardmäßig ist das Rkhunter-Paket im Standard-Repository von Debian 10 verfügbar. Sie können es installieren, indem Sie einfach den folgenden Befehl ausführen:
apt-get install rkhunter -y
Sobald die Installation abgeschlossen ist, müssen Sie Rkhunter konfigurieren, bevor Sie Ihr System scannen können. Sie können es konfigurieren, indem Sie die Datei /etc/rkhunter.conf.
bearbeitennano /etc/rkhunter.conf
Ändern Sie die folgenden Zeilen:
#Enable the mirror checks. UPDATE_MIRRORS=1 #Tells rkhunter to use any mirror. MIRRORS_MODE=0 #Specify a command which rkhunter will use when downloading files from the Internet WEB_CMD=""
Speichern und schließen Sie die Datei, wenn Sie fertig sind. Überprüfen Sie als Nächstes den Rkhunter mit dem folgenden Befehl auf Konfigurationssyntaxfehler:
rkhunter -C
Aktualisiere Rkhunter und setze die Sicherheitsbaseline
Als nächstes müssen Sie die Datendatei vom Internet-Mirror aktualisieren. Sie können es mit dem folgenden Befehl aktualisieren:
rkhunter --update
Sie sollten die folgende Ausgabe erhalten:
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter data files... Checking file mirrors.dat [ Updated ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ Skipped ] Checking file i18n/de [ Skipped ] Checking file i18n/en [ No update ] Checking file i18n/tr [ Skipped ] Checking file i18n/tr.utf8 [ Skipped ] Checking file i18n/zh [ Skipped ] Checking file i18n/zh.utf8 [ Skipped ] Checking file i18n/ja [ Skipped ]
Überprüfen Sie als Nächstes die Rkhunter-Versionsinformationen mit dem folgenden Befehl:
rkhunter --versioncheck
Sie sollten die folgende Ausgabe erhalten:
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter version... This version : 1.4.6 Latest version: 1.4.6
Legen Sie als Nächstes die Sicherheitsbaseline mit dem folgenden Befehl fest:
rkhunter --propupd
Sie sollten die folgende Ausgabe erhalten:
[ Rootkit Hunter version 1.4.6 ] File updated: searched for 180 files, found 140
Testlauf durchführen
An diesem Punkt ist Rkhunter installiert und konfiguriert. Jetzt ist es an der Zeit, den Sicherheitsscan Ihres Systems durchzuführen. Führen Sie dazu den folgenden Befehl aus:
rkhunter --check
Sie müssen für jede Sicherheitsüberprüfung die Eingabetaste drücken, wie unten gezeigt:
System checks summary
=====================
File properties checks...
Files checked: 140
Suspect files: 3
Rootkit checks...
Rootkits checked : 497
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 10 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Sie können die Option –sk verwenden, um das Drücken der Eingabetaste zu vermeiden, und die Option –rwo, um nur die unten gezeigte Warnung anzuzeigen:
rkhunter --check --rwo --sk
Sie sollten die folgende Ausgabe erhalten:
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': yes
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Sie können die Rkhunter-Protokolle auch mit dem folgenden Befehl überprüfen:
tail -f /var/log/rkhunter.log
Regelmäßigen Scan mit Cron planen
Es wird empfohlen, Rkhunter so zu konfigurieren, dass es Ihr System regelmäßig scannt. Sie können es konfigurieren, indem Sie die Datei /etc/default/rkhunter:
bearbeitennano /etc/default/rkhunter
Ändern Sie die folgenden Zeilen:
#Perform security check daily CRON_DAILY_RUN="true" #Enable weekly database updates. CRON_DB_UPDATE="true" #Enable automatic database updates APT_AUTOGEN="true"
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Schlussfolgerung
Herzliche Glückwünsche! Sie haben Rkhunter erfolgreich auf dem Debian 10-Server installiert und konfiguriert. Sie können Rkhunter jetzt regelmäßig verwenden, um Ihren Server vor Malware zu schützen.