Rkhunter diegimas Ubuntu/Debian aplinkoje

iv_vytenisg

Rkhunter - tai yra programinė įranga aptinkanti žalingą veiklą ar programinį kodą (angl. rootkit) serveryje. Žalingas programinis kodas leidžia tretiesiems asmenims pasiekti serverio resursus ir taip gali būti naudojami serverio resursus žalingoms veikloms (spam laiškų siuntimui, ataką į kitą serverį vykdymui ir t.t.).

Ši pamoka parengta naudojant mūsų OpenVZ virtualizacijos dedikuotus serverius su Ubuntu/Debian operacinių sistemų šablonais.

0. Preliminarūs reikalavimai:

- Linux/Debian operacinė sistema.


1. Serverio paruošimas

Visų pirma įdiegiame papildomus įrankius padėsiančius RKHunter veikti sėkmingai:

apt-get install binutils libreadline5 libruby ruby ruby ssl-cert unhide.rb mailutils

2. RKHunter diegimas

RKHunter bus parsiunčiamas naudojant wget komanda, todėl jeigu ši komanda dar nėra veikianti Jūsų serveryje, įvykdykite komandą:

apt-get install wget

Tada atlikite RKHunter atsisiuntimą (naujausia rkHunter versija temos rašymo metu buvo 1.4.6):

wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz/

Išarchyvuokite parsisiųstą archyvą:

tar xzvf rkhunter*

Ir nueikite į RKHunter direktoriją:

cd rkhunter*

Įdiekite RKHunter:

./installer.sh --layout /usr --install

Diegimo pateikiama atsakymas turėtų būti toks pat, kaip šis:

Checking system for:
 Rootkit Hunter installer files: found
 A web file download command: wget found
Starting installation:
 Checking installation directory "/usr": it exists and is writable.
 Checking installation directories:
  Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
  Directory /usr/share/man/man8: exists and is writable.
  Directory /etc: exists and is writable.
  Directory /usr/bin: exists and is writable.
  Directory /usr/lib: exists and is writable.
  Directory /var/lib: exists and is writable.
  Directory /usr/lib/rkhunter/scripts: creating: OK
  Directory /var/lib/rkhunter/db: creating: OK
  Directory /var/lib/rkhunter/tmp: creating: OK
  Directory /var/lib/rkhunter/db/i18n: creating: OK
  Directory /var/lib/rkhunter/db/signatures: creating: OK
 Installing check_modules.pl: OK
 Installing filehashsha.pl: OK
 Installing stat.pl: OK
 Installing readlink.sh: OK
 Installing backdoorports.dat: OK
 Installing mirrors.dat: OK
 Installing programs_bad.dat: OK
 Installing suspscan.dat: OK
 Installing rkhunter.8: OK
 Installing ACKNOWLEDGMENTS: OK
 Installing CHANGELOG: OK
 Installing FAQ: OK
 Installing LICENSE: OK
 Installing README: OK
 Installing language support files: OK
 Installing ClamAV signatures: OK
 Installing rkhunter: OK
 Installing rkhunter.conf: OK
Installation complete

3. RKHunter naudojimas

Duomenų failuose bus saugoma informacija apie galimus įsilaužimus. Rekomenduojame reguliariai atnaujinti šiuos failus tam, kad būtų aptinkami visi galimi įsilaužimai. Atnaujinimą galite atlikti pagal komandą:

rkhunter --update

Jums bus pateikiamas sąrašas failų, kurie buvo atnaujinti bei tų, kurių informaciją yra pati naujausia:

[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]

Dabar galite atlikti testavimą, kuriuo galite pamėginti įsilaužti į serverį su neteisingu prisijungimo slaptažodžiu ar panašiai. Po atlikto testo galite matyti klaidas bei perspėjimus faile:

cat /var/log/rkhunter.log

4. Pranešimų siuntimo el. paštu įjungimas

RKHunter gali būti sukonfigūruotas taip, kad siųstu Jums laiškus tik pastebėjęs pažeidimą. Visų pirmą atsidarykite failą:

vi /etc/rkhunter.conf

Paieškokite eilutės su reikšme MAIL-ON-WARNING ir pridėkite savo el. pašto adresą. Išsaugoję pašto adresą galite patikrinti ar konfigūracinis failas veikia korektiškai įvykdę komandą:

rkhunter -C

Jeigu nebus pateikiamas joks atsakymas, reiškia konfigūracinis failas yra korektiškas.