Как проверить сервер Debian на наличие руткитов с помощью Rkhunter

Rkhunter расшифровывается как "Rootkit Hunter" - это бесплатный сканер уязвимостей с открытым исходным кодом для операционных систем Linux. Он сканирует на наличие руткитов и других возможных уязвимостей, включая скрытые файлы, неправильные разрешения на двоичные файлы, подозрительные строки в ядре и т.д. Он сравнивает SHA-1 хэши всех файлов в вашей локальной системе с известными хорошими хэшами в онлайн-базе данных. Он также проверяет команды локальной системы, файлы запуска и сетевые интерфейсы на наличие прослушиваемых служб и приложений.

Установка и настройка Rkhunter

По умолчанию пакет Rkhunter доступен в репозитории Debian 10 по умолчанию. Вы можете установить его, просто выполнив следующую команду:

Установка и настройка Rkhunter

После завершения установки вам нужно будет настроить Rkhunter перед сканированием системы. Вы можете настроить его, отредактировав файл /etc/rkhunter.conf.

Измените следующие строки:

/etc/rkhunter.conf

Сохраните и закройте файл, когда закончите. Далее проверьте Rkhunter на наличие синтаксических ошибок в конфигурации с помощью следующей команды:

Обновление Rkhunter и установка базовой линии безопасности

Далее необходимо обновить файл данных с интернет-зеркала. Вы можете обновить его с помощью следующей команды:

Вы должны получить следующий результат:

sudo rkhunter --update
Далее проверьте информацию о версии Rkhunter с помощью следующей команды:

Вы должны получить следующий результат:

sudo rkhunter --versioncheck

Далее установите базовую линию безопасности с помощью следующей команды:

Вы должны получить следующий результат:

sudo rkhunter --propupd

Выполните тестовый запуск

На данном этапе Rkhunter установлен и настроен. Теперь пришло время выполнить проверку безопасности вашей системы. Для этого выполните следующую команду:

Вам нужно будет нажать Enter для каждой проверки безопасности, как показано ниже:

sudo rkhunter --check

Вы можете использовать опцию -sk, чтобы не нажимать Enter, и опцию -rwo, чтобы отображать только предупреждения, как показано ниже:

Вы должны получить аналогичный результат:

sudo rkhunter --check --rwo --sk
Вы также можете проверить журналы Rkhunter с помощью следующей команды:

Планирование регулярного сканирования с помощью Cron

Рекомендуется настроить Rkhunter на регулярное сканирование системы. Вы можете настроить его, отредактировав файл /etc/default/rkhunter:

Измените следующие строки:

Сохраните и закройте файл, когда закончите.

Заключение

Поздравляем! Вы успешно установили и настроили Rkhunter на сервере Debian. Теперь вы можете регулярно использовать Rkhunter для защиты вашего сервера от вредоносного ПО.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий