Rootkit Hunter 是一套能偵測 Linux /BSD 作業系統是不是有中木馬、惡意程式、或是病毒的程式,也可以偵測系統是不是有一些不安全的設定,系統管理者可以安裝,用來檢測系統是否有問題,做為防護上的參考。
由於 Rootkit Hunter 不是官方套件庫中的套件,所以要利用 epel 套件庫來安裝
1. 安裝 Rootkit Hunter
# yum install rkhunter --enablerepo=epel
2. 更新 Rootkit Hunter
# rkhunter --update
[ Rootkit Hunter version 1.4.0 ]
Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
3. 使用方式 -c 代表 --check --lang 後面是顯示的語系,預設是英文
# rkhunter -c
[ Rootkit Hunter 版本 1.4.0 ]
檢查系統命令...
執行 '字串' 命令檢查
檢查 '字串' 命令 [ 正常 ]
執行 '函式庫' 的檢查
檢查預先載入的變數 [ 沒發現 ]
檢查預先載入的檔案 [ 沒發現 ]
檢查 LD_LIBRARY_PATH 變數 [ 沒發現 ]
執行檔案屬性檢查
檢查重要的基本程式 [ !注意! ]
/sbin/chkconfig [ 正常 ]
/sbin/depmod [ 正常 ]
/sbin/fsck [ 正常 ]
/sbin/fuser [ 正常 ]
/sbin/ifconfig [ 正常 ]
/sbin/ifdown [ 正常 ]
/sbin/ifup [ 正常 ]
/sbin/init [ 正常 ]
/sbin/insmod [ 正常 ]
4. 加入到工作排程 cron
# vim /usr/local/bin/rkhunter_check.sh
#!/bin/bash
(
/usr/bin/rkhunter --update
/usr/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'Rootkit Hunter Daily Run (PutYourServerNameHere)' your@email.com
給檔案執行權限
# chmod 700 /usr/local/bin/rkhunter_check.sh
加入工作排,每天早上 3 點執行
# crontab -e
加入下面一行
0 3 * * * /usr/local/bin/rkhunter_check.sh
5. 更多的執行參數
# /usr/bin/rkhunter -h
沒有留言:
張貼留言