Rkhunter расшифровывается как "Rootkit Hunter" - это бесплатный сканер уязвимостей с открытым исходным кодом для операционных систем Linux. Он сканирует на наличие руткитов и других возможных уязвимостей, включая скрытые файлы, неправильные разрешения на двоичные файлы, подозрительные строки в ядре и т.д. Он сравнивает SHA-1 хэши всех файлов в вашей локальной системе с известными хорошими хэшами в онлайн-базе данных. Он также проверяет команды локальной системы, файлы запуска и сетевые интерфейсы на наличие прослушиваемых служб и приложений.
Установка и настройка Rkhunter
По умолчанию пакет Rkhunter доступен в репозитории Debian 10 по умолчанию. Вы можете установить его, просто выполнив следующую команду:
1 | sudo apt-get install rkhunter |
После завершения установки вам нужно будет настроить Rkhunter перед сканированием системы. Вы можете настроить его, отредактировав файл /etc/rkhunter.conf.
1 | sudo nano /etc/rkhunter.conf |
Измените следующие строки:
1 2 3 4 5 6 7 8 | #Включите проверку зеркал. UPDATE_MIRRORS=1 #Указывает rkhunter использовать любое зеркало. MIRRORS_MODE=0 #Укажите команду, которую rkhunter будет использовать при загрузке файлов из Интернета WEB_CMD="" |
Сохраните и закройте файл, когда закончите. Далее проверьте Rkhunter на наличие синтаксических ошибок в конфигурации с помощью следующей команды:
1 | sudo rkhunter -C |
Обновление Rkhunter и установка базовой линии безопасности
Далее необходимо обновить файл данных с интернет-зеркала. Вы можете обновить его с помощью следующей команды:
1 | sudo rkhunter --update |
Вы должны получить следующий результат:
Далее проверьте информацию о версии Rkhunter с помощью следующей команды:
1 | sudo rkhunter --versioncheck |
Вы должны получить следующий результат:
Далее установите базовую линию безопасности с помощью следующей команды:
1 | sudo rkhunter --propupd |
Вы должны получить следующий результат:
Выполните тестовый запуск
На данном этапе Rkhunter установлен и настроен. Теперь пришло время выполнить проверку безопасности вашей системы. Для этого выполните следующую команду:
1 | sudo rkhunter --check |
Вам нужно будет нажать Enter для каждой проверки безопасности, как показано ниже:
Вы можете использовать опцию -sk, чтобы не нажимать Enter, и опцию -rwo, чтобы отображать только предупреждения, как показано ниже:
1 | sudo rkhunter --check --rwo --sk |
Вы должны получить аналогичный результат:
Вы также можете проверить журналы Rkhunter с помощью следующей команды:
1 | tail -f /var/log/rkhunter.log |
Планирование регулярного сканирования с помощью Cron
Рекомендуется настроить Rkhunter на регулярное сканирование системы. Вы можете настроить его, отредактировав файл /etc/default/rkhunter:
1 | nano /etc/default/rkhunter |
Измените следующие строки:
1 2 3 4 5 6 7 8 | #Проводить проверку безопасности ежедневно CRON_DAILY_RUN="true" #Включите еженедельное обновление базы данных. CRON_DB_UPDATE="true" #Включить автоматическое обновление базы данных APT_AUTOGEN="true" |
Сохраните и закройте файл, когда закончите.
Заключение
Поздравляем! Вы успешно установили и настроили Rkhunter на сервере Debian. Теперь вы можете регулярно использовать Rkhunter для защиты вашего сервера от вредоносного ПО.