RKHunter est un logiciel utilisé pour rechercher les rootkits, les portes dérobées et d'éventuels exploits locaux. Un rootkit est un logiciel malveillant capable d'avoir un accès de niveau administrateur à un ordinateur ou un réseau. Le rootkit permet aux hackers de prendre le contrôle d'un système sans que l'utilisateur le sache. Cet article vous aidera à installer rkhunter sur CentOS.
Installer RKHunter sous CentOS
cd /usr/local/src wget https://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz tar -zxvf rkhunter-1.4.6.tar.gz cd rkhunter-* ./installer.sh --layout default --install
Attention, le lien donné pointe vers la version 1.4.6, dernière version en date au moment de l'écriture de l'article
Comment vérifier que la version de rkhunter est à jour
root@server [~]# rkhunter --versioncheck [ Rootkit Hunter version 1.4.6 ] Checking rkhunter version... This version : 1.4.6 Latest version: 1.4.6 root@server [~]#
Rechercher les mises à jour des fichiers de base de données
root@server [~]# rkhunter --update [ Rootkit Hunter version 1.4.2 ] Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ No update ] Checking file i18n/de [ No update ] Checking file i18n/en [ No update ] Checking file i18n/tr [ No update ] Checking file i18n/tr.utf8 [ No update ] Checking file i18n/zh [ No update ] Checking file i18n/zh.utf8 [ No update ] root@server [~]#
Mettre à jour toute la base de données des propriétés du fichier
root@server [~]# rkhunter --propupd [ Rootkit Hunter version 1.4.2 ] File created: searched for 172 files, found 145 root@server [~]#
Comment configurer un scan RKHunter quotidien
Créez un fichier dans le répertoire «/etc/cron.daily/»
vi /etc/cron.daily/rkhunter.sh
Mettez le script suivant dans ce fichier.
#!/bin/bash rm -rf /usr/local/src/SCAN mkdir /usr/local/src/SCAN SCAN=/usr/local/src/SCAN cd $SCAN /usr/local/bin/rkhunter -c --sk -q --summary > $SCAN/scan-rkhunter.log sed -n '/Rootkit checks/,/Suspect applications/p' $SCAN/scan-rkhunter.log | mail -s "Rkhunter Scan Report" [email protected]
A savoir que ce script peut être traité de différentes façons, vous pouvez également utiliser celui-ci :
#!/bin/sh ( /usr/local/bin/rkhunter --versioncheck /usr/local/bin/rkhunter --update /usr/local/bin/rkhunter --cronjob --report-warnings-only ) | /bin/mail -s 'rkhunter Daily Run (Nom du serveur)' [email protected]
Rendez-le exécutable
chmod +x /etc/cron.daily/rkhunter.sh
Ou encore
chmod 700 /etc/cron.daily/rkhunter.sh
Autres commandes utiles
Vérifier votre version de RKHunter
root@server [~]# rkhunter --version
Enclencher un scan
root@server [~]# rkhunter --check
Information
En cas d'erreur de type
- Warning: The file properties have changed
- Warning: Package manager verification has failed
Après avoir fait des update/upgrade via yum . vos exécutables changent… Il faut donc avertir Rkhunter … d'où l'intérêt des commandes
# rkhunter --update # rkhunter --propupd