Rkhunter 是一款开源的安全分析和监控工具,用于扫描 Linux 系统中的 rootkit、本地漏洞和后门。 它确实检查内核模块中的字符串、错误的权限、隐藏文件等,以增强 Linux 安全性。 它是用 Bourne Shell (sh) 编写的,并且与几乎所有 UNIX 派生系统兼容。
在本文中,我们将安装 Rkhunter 并扫描系统以查找 Ubuntu 20.04 系统中的后门、rootkit 和本地漏洞。
安装 Rkhunter
从 Ubuntu 20.04 开始,可以从其默认存储库安装 Rkhunter。 执行以下 apt 命令安装 Rkhunter 包。
$ sudo apt install rkhunter -y
执行命令后,您将看到以下对话框,请求设置邮件服务器。 然后,单击确定按钮。 在此对话框中,您可以看到邮件服务器类型信息。
邮件服务器配置向导。
同样,您将被要求选择邮件服务器,因为类型是在初始对话框中定义的。 对于我的设置,我将选择“仅限本地”。 选择您的邮件服务器后,单击确定。
邮件服务器配置向导。
几分钟后,您将再次看到询问系统邮件名称的对话框。 如果您有邮件地址,您可以根据描述设置邮件地址,否则设置为 localhost 或您的服务器主机名。 然后点击确定。
后缀配置。
现在,使用以下命令验证安装。
$ rkhunter --version
配置 Rkhunter
安装完成后,我们需要配置 Rkhunter 以便能够最全面地扫描系统。 然后,打开以下配置文件。
$ sudo vim /etc/rkhunter.conf
现在,找到以下变量并将其更新为给定值。
UPDATE_MIRRORS=1
默认情况下,它的值设置为 0,定义不更新到镜像文件。 如果我们在更新检查期间将值设置为 1,也会检查 rkhunter 镜像文件是否有更新。
MIRRORS_MODE=0
MIRRORS_MODE 告诉 Rkhunter 在使用 –update 或 –version 选项时要使用哪些镜像。 它需要三个选项之一,
0 – 使用任何镜子
1 – 仅使用本地镜像
2 – 仅使用远程镜像
WEB_CMD=””
WEB_CMD 决定了 Rkhunter 用来从 Internet 下载文件的命令。
设置上述配置后,写入并退出配置文件。
在 Rkhunter 安装期间,它的脚本文件附加在 cron.d Daily 目录中,用于日常扫描和更新,因为脚本由 cron 定期执行。 因此,更新以下配置文件的配置以自动扫描和定期更新。
$ sudo vim /etc/default/rkhunter.conf
CRON_DAILY_RUN=”真”
CRON_DB_UPDATE =“真”
APT_AUTOGEN =“真”
配置完成后,您可以使用以下命令检查配置是否正确设置。
$ sudo rkhunter -C
更新 Rkhunter
Rkhunter 使用文本数据文件来检测可疑活动。 所以,我们需要经常更新。 要检查更新执行,
$ sudo rkhunter --update
检查 rkhunter 数据文件更新。
现在,使用以下命令更新整个文件属性数据库。
$ sudo rkhunter --propupd
更新数据文件。
使用 Rkhunter 的扫描系统
一切都设置好后,您可以使用 rkhunter 执行系统检查。
$ sudo rkhunter --check --sk
扫描系统。
$ sudo rkhunter --check --rwo
仅查看警告。
在上面的命令中–check 选项告诉命令扫描系统,–sk 选项将跳过选项按回车键继续扫描,–rwo 仅显示警告消息
扫描后可以查看以下路径中的日志查看警告。
$ sudo cat /var/log/rkhunter.log
结论
到目前为止,您已经了解了安装 rkhunter 的方法,配置了所需的配置,并扫描系统和查看日志以识别实际的后门、rootkit 和本地漏洞。
