Rkhunter signifie "Rootkit Hunter" est un scanner de vulnérabilité gratuit et open-source pour les systèmes d'exploitation Linux. Il recherche les rootkits et d'autres vulnérabilités possibles, y compris les fichiers cachés, les mauvaises autorisations définies sur les binaires , chaînes suspectes dans le noyau, etc. Il compare les hachages SHA-1 de tous les fichiers de votre système local avec les bons hachages connus dans une base de données en ligne. Il vérifie également les commandes système locales, les fichiers de démarrage et les interfaces réseau pour les services et applications d'écoute. .
Dans ce tutoriel, nous expliquerons comment installer et utiliser Rkhunter sur le serveur Debian 10.
Prérequis
- Un serveur exécutant Debian 10.
- Un mot de passe root est configuré sur le serveur.
Installer et configurer Rkhunter
Par défaut, le package Rkhunter est disponible dans le référentiel par défaut de Debian 10. Vous pouvez l'installer en exécutant simplement la commande suivante :
apt-get install rkhunter -y
Une fois l'installation terminée, vous devrez configurer Rkhunter avant de scanner votre système. Vous pouvez le configurer en éditant le fichier /etc/rkhunter.conf.
nano /etc/rkhunter.conf
Modifiez les lignes suivantes :
#Enable the mirror checks. UPDATE_MIRRORS=1 #Tells rkhunter to use any mirror. MIRRORS_MODE=0 #Specify a command which rkhunter will use when downloading files from the Internet WEB_CMD=""
Enregistrez et fermez le fichier lorsque vous avez terminé. Ensuite, vérifiez le Rkhunter pour toute erreur de syntaxe de configuration avec la commande suivante :
rkhunter -C
Mettre à jour Rkhunter et définir la ligne de base de sécurité
Ensuite, vous devrez mettre à jour le fichier de données à partir du miroir Internet. Vous pouvez le mettre à jour avec la commande suivante :
rkhunter --update
Vous devriez obtenir le résultat suivant :
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter data files... Checking file mirrors.dat [ Updated ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ Skipped ] Checking file i18n/de [ Skipped ] Checking file i18n/en [ No update ] Checking file i18n/tr [ Skipped ] Checking file i18n/tr.utf8 [ Skipped ] Checking file i18n/zh [ Skipped ] Checking file i18n/zh.utf8 [ Skipped ] Checking file i18n/ja [ Skipped ]
Ensuite, vérifiez les informations de version de Rkhunter avec la commande suivante :
rkhunter --versioncheck
Vous devriez obtenir le résultat suivant :
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter version... This version : 1.4.6 Latest version: 1.4.6
Ensuite, définissez la ligne de base de sécurité avec la commande suivante :
rkhunter --propupd
Vous devriez obtenir le résultat suivant :
[ Rootkit Hunter version 1.4.6 ] File updated: searched for 180 files, found 140
Effectuer un test de fonctionnement
À ce stade, Rkhunter est installé et configuré. Maintenant, il est temps d'effectuer l'analyse de sécurité sur votre système. Pour ce faire, exécutez la commande suivante :
rkhunter --check
Vous devrez appuyer sur Entrée pour chaque vérification de sécurité, comme indiqué ci-dessous :
System checks summary
=====================
File properties checks...
Files checked: 140
Suspect files: 3
Rootkit checks...
Rootkits checked : 497
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 10 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Vous pouvez utiliser l'option –sk pour éviter d'appuyer sur Entrée et l'option –rwo pour afficher uniquement l'avertissement comme indiqué ci-dessous :
rkhunter --check --rwo --sk
Vous devriez obtenir le résultat suivant :
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': yes
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Vous pouvez également consulter les journaux de Rkhunter à l'aide de la commande suivante :
tail -f /var/log/rkhunter.log
Planifier une analyse régulière avec Cron
Il est recommandé de configurer Rkhunter pour analyser votre système régulièrement. Vous pouvez le configurer en éditant le fichier /etc/default/rkhunter :
nano /etc/default/rkhunter
Modifiez les lignes suivantes :
#Perform security check daily CRON_DAILY_RUN="true" #Enable weekly database updates. CRON_DB_UPDATE="true" #Enable automatic database updates APT_AUTOGEN="true"
Enregistrez et fermez le fichier lorsque vous avez terminé.
Conclusion
Toutes nos félicitations! vous avez installé et configuré avec succès Rkhunter sur le serveur Debian 10. Vous pouvez maintenant utiliser Rkhunter régulièrement pour protéger votre serveur contre les logiciels malveillants.