у дома # 149; статии # 149; rkhunter - програма за търсене на руткитове на Debian
Списък на темите:
Накратко, руткит - набор от програми, предназначени да се скрият някои отрицателни дейност или присъствието на системата за крадец.
Инсталиране rkhunter
Ще установим rkhunter 1.4.0 на Debian 7.
Като цяло, устройството не трябва да създава трудности, тъй като се оказа, че rkhunter версия 1.4.0-1 е в официалните хранилища Debain 7. Инсталирайте:
Или може да се настрои ръчно, като го изтеглите от официалния сайт:
Сключването на последната команда:
Проверка на система за:
Rootkit Hunter файловете на инсталатора: намерени
Уеб изтегляне на файлове команда: Wget намерен
Като се започне инсталация:
Проверка на инсталационната директория "/ ЮЕсАр / местни": тя съществува и може да се записва.
Проверка на инсталационни директории:
Directory /usr/local/share/doc/rkhunter-1.4.0: създаване: OK
Directory / ЮЕсАр / местни / акции / човек / Man 8: създаване: OK
Directory / и т.н.: създаден успешно.
Directory / ЮЕсАр / местни / BIN: създаден успешно.
Directory / ЮЕсАр / местни / ИЪ: създаден успешно.
Directory / Var / ИЪ: създаден успешно.
Directory / ЮЕсАр / местни / ИЪ / rkhunter / скриптове: създаване: OK
Directory / Var / ИЪ / rkhunter / db: създаване: OK
Directory / Var / ИЪ / rkhunter / ПТУ: създаване: OK
Directory / Var / ИЪ / rkhunter / db / i18n: създаване: OK
Инсталиране check_modules.pl: OK
Инсталиране filehashsha.pl: OK
Инсталиране stat.pl: OK
Инсталиране readlink.sh: OK
Инсталиране backdoorports.dat: OK
Инсталиране mirrors.dat: OK
Инсталиране programs_bad.dat: OK
Инсталиране suspscan.dat: OK
Инсталиране rkhunter.8: OK
Инсталиране БЛАГОДАРНОСТИ: OK
Инсталиране CHANGELOG: OK
Инсталиране Отговори: OK
Инсталиране Лиценз: OK
Инсталиране README: OK
Инсталиране на езикова поддръжка на файлове: OK
Инсталиране rkhunter: OK
Инсталиране rkhunter.conf: OK
Инсталацията е завършена
Други инсталатор настройки rkhunter можете да разберете, като използвате следната команда:
Кой начин за настройка за използване - вие решавате. Първият метод е по-лесно, а вторият потенциално ви позволява да инсталирате по-нова версия.
Важно е да се инсталира покажете програма. която ви позволява да търсите за скрити процеси и пристанища:
Създаване rkhunter
Ние ще намерим начин да се инсталира хранилището.
/ И т.н. / по подразбиране / rkhunter - Можете да конфигурирате периодични задачи (актуализиране, доклади за верификация)
/etc/rkhunter.conf - главен конфигурационен файл
Справочна информация може да бъде намерена в директорията / ЮЕсАр / акции / док / rkhunter и използване мъж екип rkhunter. Някои скриптове са в директорията / ЮЕсАр / акции / rkhunter.
Параметрите, които могат да бъдат зададени в / и т.н. / по подразбиране / rkhunter (параметри могат да бъдат настроени да вярно или невярно):
Следните настройки могат да бъдат коригирани в /etc/rkhunter.conf:
PKGMGR = Dpkg - съдейки по документацията в Debian тази опция не дава много сила, така че можете да оставите по подразбиране.
DISABLE_TESTS = "приложения" - забранява се провери действително версия на софтуера, с едни и същи отлична работа на Дебиан.
SUSPSCAN_DIRS = "/ TMP / Var / ПТУ" - уточни в коя директория да се търси подозрителни файлове.
OS_VERSION_FILE = "/ и т.н. / debian_version" - къде да намерите файла с версията на операционната система.
USE_LOCKING = 1 - позволява заключване spolzovat за грешка, ако използвате множество процеси rkhunter в Debian. Тя може да бъде полезно, ако ви свършат rkhunter автоматично с помощта на Крон.
DISABLE_UNHIDE = 2 - забранява unhide.rb инструмент написани на рубин.
Подготовка rkhunter първо търсене на руткитове
Преди извършването на теста трябва да направите две неща.
Първо трябва да се създаде база от знания за текущия файл, така че трябваше да се сравни. Това е, вие трябва да бъдете сигурни, че системата е чиста. Най-добрият вариант би бил да извършите това действие веднага след въвеждането на системата. Базата е създаден с помощта на:
База данни можете да намерите на следния път: /var/lib/rkhunter/db/rkhunter.dat
На следващо място, ние трябва да се актуализира базата от знания, съдържащ, наред с другото, информация за нови руткитове. Това трябва да стане, след като предишната операция и преди първия тест. Тя трябва да се актуализира периодично на базата от знания, но това не може да направи твърде често. екип:
свойства на файловете проверки.
Файлове проверени: 135
Съмнителни файлове: 0
проверки Корен.
Rootkits проверени. 309
Възможни руткитове: 0
Приложения проверки.
Всички проверки са пропуснати
Системата проверява взеха: 6 минути и 21 секунди
Всички резултати са написани на лог файл (/var/log/rkhunter.log)
Един или повече предупреждения са били открити при проверка на системата.
Моля, проверете лог файла (/var/log/rkhunter.log)
В действителност, на изхода по-подробна, представени само последната част. Както можете да видите, дневникът може да се намери по пътя /var/log/rkhunter.log
възможни ключове
-С --check - търсене на руткитове, резултатът ще бъде показан на стандартния изход и в лог файл.
--отключване - Тази команда просто премахва заключване-файла.
--актуализира - тя ще проверява за актуализации на базата от знания. За да работи тази команда изисква, че системата е инсталирана една от браузърите на командния ред, например, на Wget или рис. Желателно е да се извърши командата с определена периодичност. При използване на работа Cron трябва да се използва като опция --nocolors.
--propupd [. ] - командата ви позволява да добавяте файл с база данни информация за файловете на данните на системата, всички файлове в директория или пакет. Той е необходим за работата на един от тестовете, които сравнява файла в сегашното си състояние с факта, което беше да се създаде основата. Не забравяйте да добавите към файла с базата данни трябва да се знае, че са заразени.
--versioncheck - тази команда прави rkhunter проверява за нова версия на програмата за търсене на руткитове. командния ред на браузъра трябва да присъства в системата. Ако се използва, е желателно да се използва опцията за Крон --nocolors.
--Списък [тестове | | руткитове | Perl | propfiles] - Тази команда показва някои подкрепен от програмата. Тестове - показва имената на наличните изпитвания, езици - показват поддържаните езици, руткити - руткитове дисплей списъци на rkhunter база. Perl - показва списък на Perl модули, които могат да бъдат необходими в rkhunter, този списък не е задължително, но е желателно. Инсталиране на Perl модули могат да използват CPAN команда или програма DH-направи-Perl, който трябва да се инсталира отделно. propfiles - показва списък с имена на файлове, които се използват за генериране на файл база данни. Ако не е посочен вариант, ще видите всички списъци с изключение propfiles.
-С --config проверка - ще тества конфигурационния файл. Проверени са включени само възможност (включен). За да проверите всички опции можете да посочите --enable всички --disable никой от командния ред.
-V, --version - ще бъдат показани rkhunter версия.
-ч, --help - Тази команда ще покаже екран с кратка информация.
--appendlog - в случая на този параметър дневник /var/log/rkhunter.log тя ще бъде допълнена, но не презаписан. По подразбиране, след rkhunter е направено, основната дневника се презаписва и предишните съдържанието на своя файл се съхраняват в rkhunter.log.log към това, което се съхранява само един.
--CS2 - главен цветова схема е предназначена за черен фон. Ако, обаче, резултатът ще се появи на бял фон, можете да използвате алтернативен цветова схема.
--cronjob - когато сте посочили този параметър следните опции ще бъдат използвани: --check, --nocolors и --skip-натискане, и няма да се изведе на стандартния изход. Поради това, в комбинация с параметъра може да се използва --report-предупреждения само.
--дисплей-лог - след rkhunter завършва своята работа за привеждане на съдържанието на дневника. Най-общо казано, дневникът съдържа по-подробна информация за открити проблеми.
--Ланг - можете да посочите кой език за показване на информация в процеса на проверка. Ето списък на поддържаните езици, можете да получите на отбора rkhunter --list Ланг. По подразбиране е английски.
--лог [файл] - позволява да се замени един файл, в който ще бъдат записани в дневника. Ако е необходимо, пише нищо в дневника, можете да зададете като път / сътрудничество / нула.
--nocolors - тази опция ви позволява да се включи в черно и бяло резултати режима.
--nolog - потиска пост нищо на дневника.
--тих - потиска всички изход. То може да бъде полезно при сканиране само на изходното код. Това означава, че ако rkhunter използва от скрипт, например.
--докладва-предупреждения само - с единствените изходни предупрежденията. То може да бъде полезно, когато минава през Cron. По този начин, предупреждението ще бъдат видими при свързване към сървъра чрез KVM, например.
--SK, --skip-натискане - по подразбиране rkhunter след няколко тестови апартаменти са помолени да натиснете "Enter" ключ. За да са получени такива искания, можете да използвате тази опция.
--Syslog [facility.priority] - по подразбиране Syslog пише нищо. Ако искате да се отбележи началото и в края на изпитването, можете да използвате тази опция.
--многословно-сеч - тази опция може да се използва, за да напише някои тестове в дневник за повече информация. Това може да бъде полезно да изготвите отново, когато не е ясно поради което е имало предупреждение. Тя изисква допълнително време.
Автоматично търсене на руткитове
За да rkhunter започва автоматично да проверява системата всеки ден (да проверя започва в 06:25 часа) е достатъчен в файл / и т.н. / по подразбиране / rkhunter стойността на зададената CRON_DAILY_RUN да е вярно. В този случай, следната команда ще се използва:
Тъй като ние не забравяйте, --cronjob предполага възможности --check, --nocolors и --skip-натискане на клавиш. Това означава, че в този случай rkhunter започна да се тества системата в режим на черно-бял дисплей не иска нещо от нея, а на конзолата показва само сигналите, както и дневник ще бъде добавена към отколкото презаписани. Тъй като с течение на времето журнала ще стават по-големи, не забравяйте да го настроите въртене.
Ако искате да търсите за руткит по различен график, както и други параметри, а след това да изпълните командата, можете ръчно да добавите в Cron.