Hướng dẫn cài đặt Rkhunter quét rootkit trên CentOS

giangpth

718

26-03-2018

1. Tải về rootkit Hunter

Tải về phiên bản mới nhất của Rkhunter bằng cách sử dụng dòng lệnh wget. Thư mục nằm trong đường dẫn /usr/local/src là nơi bạn nên đặt chương trình.

Tải về phiên bản mới nhất tại đường dẫn: https://rootkit.nl/software/rootkit-hunter/

# cd /usr/local/src/

# wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz

2. Cài đặt rootkit Hunter

Khi bạn đã tải về phiên bản mới nhất của rkhunter thực thi những command sau để cài đặt chương trình.

# tar -zxvf rkhunter-1.4.2.tar.gz

# cd rkhunter-1.4.2

# ./installer.sh --layout default --install

# /usr/local/bin/rkhunter --update

# /usr/local/bin/rkhunter --propupd

# rm -Rf /usr/local/src/rkhunter*

3. Tự động hóa tác vụ kiểm tra hệ thống bằng Rootkit Hunter

Tạo file script thực thi chạy cronjobs hằng ngày.

# nano -w /etc/cron.daily/rkhunter.sh

và:

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Scan Report $HOSTNAME' cuongbenky.blogspot@gmail.com

exit 0

Shell script trên đã được cấu hình để gửi mail thông báo đến 1 ID mail cố định. Các option trong shell script bao gồm:

versioncheck: sẽ kiểm tra phiên bản tool được cập nhật.

update: sẽ cập nhật cơ sở dữ liệu các mối nguy hiểm. 

cronjob-report-warning-only: sẽ thông báo cho rkhunter thực thi mà không cần tương tác lên terminal gõ lệnh

4. Cấu hình Rootkit Hunter

Cấu hình file rkhunter: /etc/rkhunter.conf 

Cấu hình giá trị SSHD Root Login

Thông số Allow_SSH_Root_User sẽ thông báo cho rkhunter biết là user root có được phép để ssh vào hệ thống hay không. Mặc định Rkhunter sẽ luôn cảnh báo việc user root có thể ssh vào hệ thống nhằm mục tiêu bảo mật.

Nếu bạn cần đăng nhập bằng tài khoản root qua SSH, bạn nên thay đổi thông số thành yes để khi Rkhunter quét sẽ bỏ qua thông báo về vấn đề trên.

# vi /etc/rkhunter.conf

ALLOW_SSH_ROOT_USER=yes

Tuy nhiên để bảo mật thì khuyên cáo mọi người nên disable việc đăng nhập bằng tài khoản root SSH.

5. Cập nhật Rootkit Hunter

– Để kiểm tra phiên bản được cài, bạn sử dụng lệnh sau.

# /usr/local/bin/rkhunter --versioncheck

– Cập nhật CSDL Signature.

# /usr/local/bin/rkhunter --update

– Với việc CSDL của tập tin được làm mới, chúng ta chỉ định với rkhunter kiểm tra những giá trị hiện hành của chúng vẫn sử dụng được.

# /usr/local/bin/rkhunter --propupd

6. Tiến hành quét rootkit

Để quét toàn bộ hệ thống, bạn hãy dùng lệnh sau.

# /usr/local/bin/rkhunter -c

Với lệnh trên thì khi kết thúc những danh mục được quét ta phải bấm enter để tiếp tục quét phần khác. Nếu không muốn vậy thì ta thêm option sk.

# /usr/local/bin/rkhunter -c -sk

---------------------------- Scan results ----------------------------

MD5 scan

Scanned files: 0

Incorrect MD5 checksums: 0

File scan Scanned files: 412

Possible infected files: 0

Application scan

Vulnerable applications: 0

Scanning took 39 seconds

-----------------------------------------------------------------------

Rkhunter chỉ có thể quét rootkit, chứ không xóa chúng đi. Khi rkhunter scan được mối đe dọa thì đầu tiên, bạn cần kiểm tra lại có hoặc không những trường hợp xác nhận nhầm. Cảnh báo có thể xuất hiện khi cập nhật phần mềm liên tục, tinh chỉnh cấu hình hệ thống. 

Bài hướng dẫn kết thúc tại đây. Chúc các bạn thành công!