Rkhunter - a program keresni rootkitek debian - debian segítség

otthon # 149; Cikkek # 149; rkhunter - a program keresni rootkitek a debian

Listája témák:

Röviden, rootkit - egy sor programot terveztek, hogy elrejtse néhány negatív tevékenység vagy a jelenléte a betörő rendszer.

telepítése rkhunter

Mi lesz beállítva rkhunter 1.4.0 Debian 7.

Általában a készülék ne okozzanak nehézséget, mivel kiderült, hogy rkhunter változat 1.4.0-1 van a hivatalos tárolókban Debain 7. Telepítse:

Vagy kézzel lehet beállítani, hogy letölti a fájlt a hivatalos honlapon:

A következtetés az utolsó parancsot:

Ellenőrzés rendszere:
Rootkit Hunter telepítő fájlok: talált
A web fájl letöltése parancsot: wget talált
A telepítés megkezdése:
Ellenőrzés telepítés „/ usr / local”: ez létezik és írható.
Ellenőrzés telepítési könyvtárat:
Directory /usr/local/share/doc/rkhunter-1.4.0: létre: OK
/ Usr / local / share / man / man8: létre: OK
/ Etc: létezik és írható.
/ Usr / local / bin: létezik és írható.
/ Usr / local / lib: létezik és írható.
/ Var / lib: létezik és írható.
/ Usr / local / lib / rkhunter / script: létre: OK
/ Var / lib / rkhunter / db: létre: OK
/ Var / lib / rkhunter / tmp: létre: OK
/ Var / lib / rkhunter / db / i18n: létre: OK
Telepítése check_modules.pl: OK
Telepítése filehashsha.pl: OK
Telepítése stat.pl: OK
Telepítése readlink.sh: OK
Telepítése backdoorports.dat: OK
Telepítése mirrors.dat: OK
Telepítése programs_bad.dat: OK
Telepítése suspscan.dat: OK
Telepítése rkhunter.8: OK
Telepítése KÖSZÖNETNYILVÁNÍTÁS: OK
Telepítése CHANGELOG: OK
Telepítése FAQ: OK
Telepítése licenc: OK
Telepítése README: OK
Telepítése nyelveket támogató fájlokat: OK
Telepítése rkhunter: OK
Telepítése rkhunter.conf: OK
Telepítés kész

Egyéb beállítások telepítő rkhunter megtalálja végre a következő parancsot:

Merre beállítás használható - úgy dönt. Az első módszer a könnyebb, a második potenciálisan lehetővé teszi, hogy telepíteni egy újabb verzióra.

Azt is érdemes telepíteni megzavar programot. amely lehetővé teszi, hogy keressen rejtett folyamatok és portok:

Beállítás rkhunter

Meg fogjuk találni a módját, hogy telepítse a tárolóból.

/ Etc / default / rkhunter - Beállítható időszakos feladatok (frissítés, hitelesítési jelentéseket)
/etc/rkhunter.conf - fő konfigurációs fájl

Kiegészítő információ megtalálható a / usr / share / doc / rkhunter és használata férfi rkhunter csapat. Egyes szkriptek vannak az / usr / share / rkhunter.

Paraméterek állíthatók be az / etc / default / rkhunter (paramétereket lehet beállítani, hogy igaz vagy hamis):

A következő beállításokat lehet korrigálni /etc/rkhunter.conf:

PKGMGR = dpkg - ítélve a dokumentációt Debian ezt a lehetőséget nem ad sok hatása, hogy akkor hagyja az alapértelmezett.
DISABLE_TESTS = „apps” - letilt ellenőrzi az aktuális verzió a szoftver, ugyanazzal a kiváló munkát Debian fejlesztők.
SUSPSCAN_DIRS = "/ tmp / var / tmp" - adja meg melyik könyvtárban kell keresni a gyanús fájlokat.
OS_VERSION_FILE = „/ etc / debian_version” - hol találja a fájlt a verziót az operációs rendszer.
USE_LOCKING = 1 - teszi spolzovat zár hiba, ha fut több folyamat rkhunter a Debian. Ez akkor lehet hasznos, ha fut rkhunter automatikusan cron segítségével.
DISABLE_UNHIDE = 2 - letiltja unhide.rb szerszám írt rubin.

Előállítás rkhunter az első keresést rootkitek

A vizsgálat elvégzése előtt kell két dolgot.

Először létre kell hozni egy olyan tudásbázis az aktuális fájlt, így meg kellett összehasonlítani. Azaz, meg kell bizonyosodni arról, hogy a rendszer tiszta. A legjobb megoldás az lenne, hogy ehhez a művelethez közvetlenül beállítása után a rendszert. A bázis segítségével hozzuk létre:

Adatbázis megtalálható a következő útvonalon: /var/lib/rkhunter/db/rkhunter.dat

Ezután meg kell frissíteni a tudásbázis, amely többek között az információkat az új rootkitek. Meg kell tenni, ha az előző műveletet, és az első kísérlet előtt. Meg kell rendszeresen frissítik a tudásbázist, de ez nem túl gyakran. csapat:

Fájl tulajdonságai ellenőrzéseket.
Files ellenőrizve: 135
A gyanús fájlok: 0

Rootkit ellenőrzéseket.
A rootkitek jelölve. 309
Lehetséges rootkitek: 0

Alkalmazások ellenőrzéseket.
Minden ellenőrzés kimarad

A rendszer ellenőrzi került: 6 perc és 21 másodperc

Minden eredményt írtak a log fájlt (/var/log/rkhunter.log)

Egy vagy több figyelmeztetés találtak, miközben ellenőrzi a rendszer.
Kérjük, ellenőrizze a log fájlt (/var/log/rkhunter.log)

Tény, hogy a kimeneti részletesebb bemutatásra csak az utolsó részben. Mint látható, a log megtalálható az úton /var/log/rkhunter.log

lehetséges kulcsok

-c, --check - keresést rootkitek, az eredmény jelenik meg a kimenetet egy log fájlt.
--kinyit - Ez a parancs egyszerűen eltávolítja a lock-fájlt.
--Frissítve - akkor ellenőrzi a frissítéseket a tudásbázist. Ahhoz, hogy ez a parancs megköveteli, hogy a rendszer telepítése az egyik parancssori böngészők, például a wget vagy hiúz. Kívánatos végrehajtani a parancsot egy bizonyos időközönként. Amikor a cron kell használni, mint egy lehetőséget --nocolors.
--propupd [. ] - a parancs lehetővé teszi, hogy adjunk fájlt információs adatbázis fájlokat a rendszer az adatok, mind a fájlokat egy könyvtárban vagy a csomagoláson. Szükséges, hogy a művelet az egyik tesztek, amely összehasonlítja a fájl jelenlegi állapotában az a tény, ami az volt, hogy a bázis. Ne feledje, hogy adjunk az adatbázis file kell ismerni, hogy fertőzött.
--versioncheck - ez a parancs teszi rkhunter ellenőrizze az új verzió a program keresni rootkitek. A böngésző parancssori jelen kell lennie a rendszerben. Ha használt, kívánatos, hogy egy cron lehetőség --nocolors.
--lista [vizsgálatok | | rootkitek | perl | propfiles] - Ez a parancs megjeleníti néhány program által támogatott. Vizsgálatok - megjeleníti a nevét a rendelkezésre álló vizsgálatok, nyelvek - mutatják a támogatott nyelvek, rootkitek - rootkitek kijelző listákat rkhunter bázis. Perl - megjelenít egy listát a perl modulokat, amelyekre szükség lehet a rkhunter, ez a lista nem kötelező, de kívánatos. Telepítse perl modul használhatja az cpan parancs vagy közüzemi dh-make-perl, amelyet külön kell telepíteni. propfiles - megjeleníti a fájlnevek listáját, amelyek a generál egy adatbázis fájlt. Ha nincs opció meg van adva, akkor az összes listák kivételével propfiles.
-C, --config-ellenőrzés - próbára teszi a konfigurációs fájlt. Kockás csak a benne lehetőség (engedélyezett). Ahhoz, hogy nézd meg az összes lehetőséget megadhat --enable minden --disable sem a parancssorban.
-V, --version - rkhunter változata jelenik meg.
-h, --help - Ez a parancs megjeleníti a képernyőn rövid információkat.

--appendlog - abban az esetben, ez a paraméter log /var/log/rkhunter.log akkor lehet kiegészíteni, de nem írja felül. Alapesetben miután rkhunter történik, a fő log felülírja, és az előző tartalmát a fájl a rkhunter.log.log, mit tárolnak egyetlen.
--CS2 - fő színösszeállítás tervezték a fekete háttér. Ha azonban az eredmény jelenik meg egy fehér háttér, akkor egy alternatív színséma.
--cron munkálatain - megadásakor ez a paraméter következő lehetőségek használhatók: --check, --nocolors és --skip-gombnyomás, és nem lesz a kimenet a standard kimenetre. Ezért együtt a paraméter használható --report-figyelmeztetések csak.
--display-logfile - miután rkhunter befejezi a munkát, hogy a tartalmát a napló. Általánosságban elmondható, hogy a napló tartalmazza a részletes információkat az észlelt problémákat.
--lang - megadhatja, hogy melyik nyelvet információ megjelenítésére az ellenőrzési folyamat során. Az elérhető nyelvek listáját, akkor kap egy csapat rkhunter --list lang. Az alapértelmezett az angol.
--logfile [file] - lehetővé teszi, hogy felülírja a fájlt, amelyben a napló kerül. Ha szükséges, írja semmi a naplóban, akkor meg az út, / dev / null.
--nocolors - ez az opció lehetővé teszi, hogy tartalmaz egy fekete-fehér kijelző mód eredményeket.
--nolog - elnyomja utáni semmit a naplót.
--quiet - elnyomja az összes kimenet. Hasznos lehet, ha olvas csak a kimenő kódot. Azaz, ha rkhunter használt egy script, például.
--jelenteni-figyelmeztetések csak - az egyetlen kimenet figyelmeztetéseket. Hasznos lehet, ha fut a cron. Így a figyelmeztetés látható lesz, ha a kiszolgálóhoz való csatlakozás révén a KVM, például.
--sk, --skip-gombnyomás - alapértelmezett rkhunter miután néhány tesztcsonagok arra kérik, hogy nyomja meg az „Enter” billentyűt. Az ilyen kérés érkezett, akkor használja ezt a lehetőséget.
--syslog [facility.priority] - alapértelmezett syslog ír semmit. Ha azt szeretnénk, hogy jelölje meg a kezdetét és végét a tesztelés, akkor használja ezt a lehetőséget.
--bőbeszédű-naplózás - ez az opció használható, hogy írjon néhány tesztet a napló további információkért. Ez hasznos lehet, hogy újra futni, ha nem egyértelmű, ezért van egy figyelmeztetés volt. Ez további időt követel.

Automatikusan megkeresi a rootkitek

Ahhoz rkhunter kezdett automatikusan ellenőrzi a rendszer minden nap (I ellenőrizze kezdődik 06:25) elegendő a / etc / default / rkhunter set CRON_DAILY_RUN érték true. Ebben az esetben a következő parancs használható:

Ahogy emlékszem, --cronjob magában foglalja lehetőségek --check, --nocolors és --skip-gombnyomás. Vagyis ebben az esetben rkhunter kezdte tesztelni a rendszert a fekete-fehér kijelző mód nem kér karakternél, míg a konzol kijelzői csak a figyelmeztetéseket és a napló lesz fűzve helyett felülírja. Mivel az idő múlásával a log fájl nagyságát, biztos, hogy állítsa fel forgatást.

Ha azt szeretnénk, hogy keressen rootkitek eltérő menetrendet, és egyéb paramétereket, majd futtassa a parancsot, akkor manuálisan hozzáadni a cron.