Rkhunter chrootkit

De Aldeid.
Nom de l'article : Rkhunter & Chkrootkit 
Auteur(s) : Sébastien DAMAYE 
Statut : publié 
Version : 1.1
Date dernière mise à jour : 13/01/2009 
Mots clés : sécurité protection chkrootkit rkhunter rootkit 
Pièces jointes :

Description : Cet article présente deux outils vous permettant de vous assurer que votre système Linux n'est pas compromis par un rootkit : Rkhunter at Chkrootkit


Rkhunter

Description

Rkhunter (rootkit hunter) est un outil de détection de rootkit et autres malwares.

Installation

Installation par les packages (v1.2.9) 

# apt-get install rkhunter

Installation à partir des sources (v1.3.4) 

# wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.4.tar.gz
# tar xzvf rkhunter-1.3.4.tar.gz
# cd rkhunter-1.3.4
# ./installer.sh --layout default --install

Désinstallation

# cd /usr/local/src/rkhunter-1.3.4/
# ./installer.sh --layout default --remove

Utilisation

Image:Ssh-img013.png
Attention
La suite de ce chapitre suppose que votre installation est réalisée à partir des sources.

Mettre à jour la base de données des propriétés de fichiers 

# rkhunter --propupd

Pour lancer une vérification complète : 

# rkhunter -c

Automatisation

Pour automatiser le scan : 

# cd /etc/cron.daily/
# vim rkhunter

Et ajouter les lignes suivantes : 

#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /usr/bin/mail -s "[RKHUNTER] Rapport de scan journalier" mon_adresse_mail@aldeid.com
Image:info.png
Remarque
Afin de ne pas surcharger le rapport envoyé par mail, rkhunter est appelé ici avec l'option --report-warnings-only. Seules, les erreurs seront rapportées. Vous pouvez supprimer cette option si vous souhaitez recevoir le rapport complet.

Ajoutez les droits : 

chmod +x rkhunter

chkrootkit

Description

Chkrootkit est un ensemble d'outils permettant de vérifier que votre système n'est pas compromis par un rootkit.

Installation

Installation par package (v0.47-2) 

# apt-get install chkrootkit

Installation par les sources (v0.48)

1. Récupération du fichier d'installation 

# cd /usr/local/src
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

2. Décompression de l'archive 

# tar xzvf chkrootkit.tar.gz
# cd chkrootkit-0.48

3. Installation 

# make sense
# ln -s /usr/local/src/chkrootkit-0.48/chkrootkit /sbin/

Utilisation

Chkrootkit s'utilise très simplement : 

# ./chkrootkit

Automatisation

Pour automatiser le scan : 

# cd /etc/cron.daily/
# vim chkrootkit

Et ajouter les lignes suivantes : 

#!/bin/sh
/sbin/chkrootkit | /usr/bin/mail -s "[CHKROOTKIT] Rapport de scan journalier" mon_adresse_email@aldeid.com

Ajoutez les droits : 

chmod +x chkrootkit


Récupérée de « http://www.aldeid.com/index.php/Rkhunter_chrootkit »
Outils personnels