CentOSで使える rootkit検知ツールに、Rootkit Hunter があります。
2012年5月以降更新の無かった Rootkit Hunter ですが、先月バージョン1.4.2 がリリースされました。
以降で CentOS6 での Rootkit Hunter について説明します。
なお、CentOSで使える他のrootkit検知ツールに、以下で紹介した chkrootkit もあります。
ファイルの入手
Rootkit Hunter は以下で入手します。
wget http://rkhunter.sourceforge.net/rkhunter-CVS.tar.gz tar zxvf rkhunter-CVS.tar.gz
インストールせずに実行してみる
インストール前に、若干設定が必要になるので、まずはインストールせずに実行してみて、適宜設定を行います。
まず、rootユーザで以下を実行します。
cd rkhunter/ ./installer.sh --layout custom . --install
これで、rootkit のチェックが出来ます。
チェックをする場合は、下記を実行します。
cd files/ /etc/cron.daily/prelink ./rkhunter --propupd --check --sk --pkgmgr RPM
実行すると、以下のような表示になって、チェックが行われます。
[ Rootkit Hunter version 1.4.2 ] File updated: searched for 171 files, found 139 Checking system commands... Performing 'strings' command checks Checking 'strings' command [ OK ] Performing 'shared libraries' checks Checking for preloading variables [ None found ] Checking for preloaded libraries [ None found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prerequisites [ OK ] /bin/awk [ OK ] /bin/basename [ OK ] /bin/bash [ Warning ] /bin/cat [ OK ] /bin/chmod [ OK ] /bin/chown [ OK ] /bin/cp [ OK ] /bin/csh [ OK ] /bin/cut [ OK ] : :
Warning が出る場合は、以降の記載に従ってください。
Performing file properties checks で Warning が出る場合
Performing file properties checks の箇所で、以下のように Warning が出ることがあります。
下記では、/bin/bash について Warning が出ました。
/bin/bash [ Warning ]
この場合は、ログ rkhunter.log を確認します。
なお、rkhunter.log はカレントディレクトリ下にあります。
以下のような内容が出力されていることを確認します。
[20:55:38] Try running the command 'prelink /bin/bash' to resolve dependency errors.
出力されていたら、次を実行します。
prelink /bin/bash
再度 ./rkhunter –propupd –check –sk –pkgmgr RPM で実行すると、Warning がなくなります
: Performing file properties checks Checking for prerequisites [ OK ] /bin/awk [ OK ] /bin/basename [ OK ] /bin/bash [ OK ] /bin/cat [ OK ] : :
Checking application versions で Warning が出る場合
Checking application versions の箇所で、以下のように Warning が出ることがあります。
: Checking application versions... Checking version of GnuPG [ OK ] Checking version of Apache [ Warning ] Checking version of OpenSSL [ OK ] Checking version of OpenSSH [ OK ] : :
この場合は、ログ rkhunter.log を確認します。
rkhunter.log はカレントディレクトリ下にあります。
すると、ログに下記のような表示が見つかります。
[23:01:21] Checking version of Apache [ Warning ] [23:01:21] Warning: Application 'httpd', version '2.2.15', is out of date, and possibly a security risk.
Apache のプロセス httpd のバージョンが 2.2.15 で、これは古いバージョンだと言っています。
古いと判断されるバージョンは、Rootkit Hunter のファイル programs_bad.dat に列挙されています。
ただし、CentOS6 の Apache(Httpd)の最新は 2.2.15 でセキュリティパッチも適宜当てられているようなので、バージョン 2.2.15 で Warning が出ないように設定します。
設定は rkhunter.conf の APP_WHITELIST で行います。
下記を追加します。
APP_WHITELIST="httpd:2.2.15"
再度 ./rkhunter –propupd –check –sk –pkgmgr RPM で実行すると、Warning がなくなります
: Checking application versions... Checking version of GnuPG [ OK ] Checking version of Apache [ OK ] Checking version of OpenSSL [ OK ] Checking version of OpenSSH [ OK ] : :
インストール
Warning が出ずに実行できるようになったら、インストールします。
installer.sh があるディレクトリで、下記を実行します。
./installer.sh --install
これでインストール完了です。
チェックを実行する場合は、以下を実行します。
/etc/cron.daily/prelink rkhunter --propupd --check --sk --pkgmgr RPM
参考
The Rootkit Hunter project
rkhunterのインストールと設定 – しょぼんメモリ (´・ω・`)
Rootkit Hunter – Pocketstudio.jp Linux Wiki
rkhunterで –propupd してもハッシュが合わない場合 – しょぼんメモリ (´・ω・`)
ヒコウリツチュウ: rkhunterの初期Warning対応
rkhunter | beroの日記 | スラッシュドット・ジャパン
コメント