概要
- 外部からのrootkitによる侵入を検出する。
- 毎日3時ごろチェックした結果をメール送信する。
- 参考→chkrootkit(以前はこっち使ってた)
インストール
落として解凍。
# wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz # tar -zxvf rkhunter-1.2.7.tar.gz
インストールスクリプトで、インストール場所を、/usr/local/bin/rkhunterに変更。
# cd rkhunter # vi installer.sh
修正は必須ではない(趣味の問題……)。修正箇所は以下。
INSTALLDIR="/usr/local/bin/rkhunter"
インストール実行。
# ./installer.sh
/usr/local/bin/rkhunter/ にインストールされた。
設定
初期設定
まずはRootkitの情報などが入ったシグネチャファイルをアップデートを行う。必須。
# /usr/local/bin/rkhunter/rkhunter --update
アップデートされたデータで、とりあえずチェックを実行してみる。
# /usr/local/bin/rkhunter/rkhunter -c --skip-keypress
「--skip-keypress」無しでも実行できるが、途中で「[Press <ENTER> to continue]」と要求される。
チェックにはだいたい5分〜15分程度必要。
cron設定
cron で日々自動実行されるように設定しておく。
cronはこんな感じ。
0 3 * * * (cd /usr/local/bin/rkhunter; ./rkhunter -c --skip-keypress --cronjob 2>&1 | mail -s "rkhunter output" xxxxx@xxxx.xxxx.xxxx) 45 2 1 * * /usr/local/bin/rkhunter/rkhunter --update > /dev/null 2>&1
実行時間は以下。
- データアップデートはアップデート迷惑の掛からないように月一回に留める。
- フリーなので。
- スキャン時間は、全てのホストが同時に過負荷にならないように分散させる。
運用
アップデート
/usr/local/bin/rkhunter/rkhunter --update
チェック
/usr/local/bin/rkhunter/rkhunter -c --skip-keypress
チェック (cron等でメール送信する用)
/usr/local/bin/rkhunter/rkhunter -c --skip-keypress --cronjob
最終更新時間:2008年06月19日 17時15分04秒