{{category Linux,nolink}}
!!!概要
*外部からのrootkitによる侵入を検出する。
*毎日3時ごろチェックした結果をメール送信する。 

*参考→chkrootkit(以前はこっち使ってた)
!!!インストール
落として解凍。
 # wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
 # tar -zxvf rkhunter-1.2.7.tar.gz

インストールスクリプトで、インストール場所を、/usr/local/bin/rkhunterに変更。
 # cd rkhunter
 # vi installer.sh
修正は必須ではない(趣味の問題……)。修正箇所は以下。
 INSTALLDIR="/usr/local/bin/rkhunter"
インストール実行。
 # ./installer.sh
/usr/local/bin/rkhunter/ にインストールされた。
!!!設定
!!初期設定
まずはRootkitの情報などが入ったシグネチャファイルをアップデートを行う。必須。
 # /usr/local/bin/rkhunter/rkhunter --update
アップデートされたデータで、とりあえずチェックを実行してみる。
 # /usr/local/bin/rkhunter/rkhunter -c --skip-keypress
「--skip-keypress」無しでも実行できるが、途中で「[Press <ENTER> to continue]」と要求される。

チェックにはだいたい5分〜15分程度必要。
!!cron設定
cron で日々自動実行されるように設定しておく。

cronはこんな感じ。
 0 3 * * * (cd /usr/local/bin/rkhunter; ./rkhunter -c --skip-keypress --cronjob 2>&1 | mail -s "rkhunter output" xxxxx@xxxx.xxxx.xxxx)
 45 2 1 * *   /usr/local/bin/rkhunter/rkhunter --update > /dev/null 2>&1

実行時間は以下。

*データアップデートはアップデート迷惑の掛からないように月一回に留める。
**フリーなので。
*スキャン時間は、全てのホストが同時に過負荷にならないように分散させる。

!!!運用
アップデート
 /usr/local/bin/rkhunter/rkhunter --update

チェック
 /usr/local/bin/rkhunter/rkhunter -c --skip-keypress

チェック　(cron等でメール送信する用)
 /usr/local/bin/rkhunter/rkhunter -c --skip-keypress --cronjob

!!!参考
*http://pocketstudio.jp/linux/?Rootkit%20Hunter