Linux: установка rkhunter

Автор: | 12/12/2014
 

Linux SecureЗадача утилиты rkhunter — поиск известных бекдоров, руткитов и эксплоитов.

Использует локальную базу, которую периодически обновляет, умеет отправлять отчёты на почту.

Имеется в репозитории Epel, но можно установить вручную, скачав архив отсюда>>>.

Устанавливаем из репозитория:

# yum install rkhunter

Основной исполняемый файл в CentOS 6.6 — /usr/bin/rkhunter.

Файл настроек — /etc/rkhunter.conf.

Если у вас закрыт логин root — задайте в нём параметр:

ALLOW_SSH_ROOT_USER=no

что бы не получать лишних Warning.

Получения помощи по  командам:

# rkhunter --help

Запускаем обновление баз:

# rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ Updated ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ Updated ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ Updated ]
  Checking file i18n/tr.utf8                                 [ Updated ]
  Checking file i18n/zh                                      [ Updated ]
  Checking file i18n/zh.utf8                                 [ Updated ]
 # rkhunter --propupd
[ Rootkit Hunter version 1.4.2 ]
File created: searched for 170 files, found 136

Создаём cron-файл /etc/cron.daily/rkhunter.sh с таким содержимым:

#!/usr/bin/env bash
(
/usr/bin/rkhunter --versioncheck
/usr/bin/rkhunter --update
/usr/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run (Venti)' root@domain.com
# chmod 755 /etc/cron.daily/rkhunter.sh

Запускаем проверку:

# rkhunter --check

Проверка будет довольно долго, результаты будут сохранены в лог /var/log/rkhunter/rkhunter.log.

И последним, для проверки, можно запустить сам cron-скрипт:

# /etc/cron.daily/rkhunter.sh

UPD

Позже заметил, что rkhunter создаёт собственный скрипт для крона — /etc/cron.daily/rkhunter, поэтому — предыдущий шаг можно пропустить, и спользовать этот.

В нём требуется только изменить строку:

MAILTO=root@localhost

и указать там нужный адрес, и изменить адрес в файле /etc/sysconfig/rkhunter:

MAILTO=root@localhost