Rkhunter
Intro
Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.
Compile RKHunter
Instal aplikasi pendukung
sudo locale-gen id_ID.UTF-8 sudo apt-get update sudo apt-get -y install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils
Masukan
- Site localhost
- Relay Site kalau pakai INDIHOME : smtp.telkom.net
Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.6
cd /usr/local/src wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz tar xzvf rkhunter* cd rkhunter*
Instal di /usr
sudo ./installer.sh --layout /usr --install
Cek Konfigurasi
Cek
sudo rkhunter --versioncheck
Output
[ Rootkit Hunter version 1.4.2 ] Checking rkhunter version... This version : 1.4.2 Latest version: 1.4.2
Update data file
sudo rkhunter --update
Set properties update / baseline
sudo rkhunter --propupd
Output
File created: searched for 177 files, found 145
Run
Jalankan
sudo rkhunter -c --enable all --disable none
Dia akan menjalan test per section.
Log bisa di baca di
sudo nano /var/log/rkhunter.log
atau
cat /var/log/rkhunter.log | grep Warning
Alternative lain, perintahkan rkhunter untuk print warning ke layar
sudo rkhunter -c --enable all --disable none --rwo
Tuning Konfigurasi RKHunter supaya lebih baik
Edit
sudo vi /etc/rkhunter.conf
Notifikasi email
MAIL-ON-WARNING="your_user@domain.com" MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
atau
MAIL-ON-WARNING="root@localhost" MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Whitelist File yang baik, contoh
SCRIPTWHITELIST="/usr/sbin/adduser" SCRIPTWHITELIST="/usr/bin/ldd" SCRIPTWHITELIST="/bin/egrep" SCRIPTWHITELIST="/bin/fgrep" SCRIPTWHITELIST="/bin/which" SCRIPTWHITELIST="/usr/bin/unhide.rb"
Whitelist File di /dev, contoh,
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" ALLOWHIDDENDIR="/dev/.udev" ALLOWHIDDENFILE="/dev/.blkid.tab" ALLOWHIDDENFILE="/dev/.blkid.tab.old" ALLOWHIDDENFILE="/dev/.initramfs"
Ijinkan Root SSH Login, contoh
ALLOW_SSH_ROOT_USER=without-password
Cek Konfigurasi
Cek
sudo rkhunter -C
Test lagi apakah ada warning
sudo rkhunter -c --enable all --disable none --rwo
Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah,
Warning: The file properties have changed: File: /etc/rkhunter.conf Current hash: fa8ad80a18100e669be507e69d0cbb88348fc07d Stored hash : f9015108a2f6d8044126351cf16235c55993ff7a Current inode: 2098189 Stored inode: 2100424 Current size: 37607 Stored size: 37359 Current file modification time: 1388443781 (30-Dec-2013 17:49:41) Stored file modification time : 1388442019 (30-Dec-2013 17:20:19)
Update profile rkhunter
sudo rkhunter --propupd
Cek email untuk notifikasi dari rkhunter
Cron
sudo crontab -e 15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet
Kalau tidak ada masalah, maka tidak ada email yang akan dikirim