Difference between revisions of "Rkhunter"
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
(11 intermediate revisions by the same user not shown) | |||
Line 3: | Line 3: | ||
==Intro== | ==Intro== | ||
− | Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses | + | Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang. |
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan. | Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan. | ||
Line 13: | Line 13: | ||
sudo locale-gen id_ID.UTF-8 | sudo locale-gen id_ID.UTF-8 | ||
sudo apt-get update | sudo apt-get update | ||
− | sudo apt-get install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils | + | sudo apt-get -y install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils |
Masukan | Masukan | ||
Line 19: | Line 19: | ||
* Relay Site kalau pakai INDIHOME : smtp.telkom.net | * Relay Site kalau pakai INDIHOME : smtp.telkom.net | ||
− | Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4. | + | Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.6 |
− | cd /usr/ | + | cd /usr/local/src |
− | wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4. | + | wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz |
tar xzvf rkhunter* | tar xzvf rkhunter* | ||
cd rkhunter* | cd rkhunter* | ||
− | + | Instal di /usr | |
− | |||
sudo ./installer.sh --layout /usr --install | sudo ./installer.sh --layout /usr --install | ||
Line 37: | Line 36: | ||
sudo rkhunter --versioncheck | sudo rkhunter --versioncheck | ||
− | [ Rootkit Hunter version 1.4. | + | Output |
+ | |||
+ | [ Rootkit Hunter version 1.4.2 ] | ||
Checking rkhunter version... | Checking rkhunter version... | ||
− | This version : 1.4. | + | This version : 1.4.2 |
− | Latest version: 1.4. | + | Latest version: 1.4.2 |
− | |||
Update data file | Update data file | ||
Line 52: | Line 52: | ||
sudo rkhunter --propupd | sudo rkhunter --propupd | ||
− | + | Output | |
+ | File created: searched for 177 files, found 145 | ||
==Run== | ==Run== | ||
Line 67: | Line 68: | ||
sudo nano /var/log/rkhunter.log | sudo nano /var/log/rkhunter.log | ||
− | + | atau | |
+ | |||
+ | cat /var/log/rkhunter.log | grep Warning | ||
Alternative lain, perintahkan rkhunter untuk print warning ke layar | Alternative lain, perintahkan rkhunter untuk print warning ke layar | ||
Line 73: | Line 76: | ||
sudo rkhunter -c --enable all --disable none --rwo | sudo rkhunter -c --enable all --disable none --rwo | ||
− | + | ==Tuning Konfigurasi RKHunter supaya lebih baik== | |
− | == | ||
Edit | Edit | ||
− | sudo | + | sudo vi /etc/rkhunter.conf |
Line 84: | Line 86: | ||
MAIL-ON-WARNING="your_user@domain.com" | MAIL-ON-WARNING="your_user@domain.com" | ||
+ | MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}" | ||
atau | atau | ||
Line 95: | Line 98: | ||
SCRIPTWHITELIST="/usr/sbin/adduser" | SCRIPTWHITELIST="/usr/sbin/adduser" | ||
SCRIPTWHITELIST="/usr/bin/ldd" | SCRIPTWHITELIST="/usr/bin/ldd" | ||
+ | SCRIPTWHITELIST="/bin/egrep" | ||
+ | SCRIPTWHITELIST="/bin/fgrep" | ||
+ | SCRIPTWHITELIST="/bin/which" | ||
SCRIPTWHITELIST="/usr/bin/unhide.rb" | SCRIPTWHITELIST="/usr/bin/unhide.rb" | ||
− | |||
Whitelist File di /dev, contoh, | Whitelist File di /dev, contoh, | ||
Line 109: | Line 114: | ||
Ijinkan Root SSH Login, contoh | Ijinkan Root SSH Login, contoh | ||
− | ALLOW_SSH_ROOT_USER= | + | ALLOW_SSH_ROOT_USER=without-password |
− | |||
==Cek Konfigurasi== | ==Cek Konfigurasi== |
Latest revision as of 15:23, 17 January 2024
Intro
Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.
Compile RKHunter
Instal aplikasi pendukung
sudo locale-gen id_ID.UTF-8 sudo apt-get update sudo apt-get -y install binutils libreadline5 libruby ruby ssl-cert unhide.rb mailutils
Masukan
- Site localhost
- Relay Site kalau pakai INDIHOME : smtp.telkom.net
Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.6
cd /usr/local/src wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz tar xzvf rkhunter* cd rkhunter*
Instal di /usr
sudo ./installer.sh --layout /usr --install
Cek Konfigurasi
Cek
sudo rkhunter --versioncheck
Output
[ Rootkit Hunter version 1.4.2 ] Checking rkhunter version... This version : 1.4.2 Latest version: 1.4.2
Update data file
sudo rkhunter --update
Set properties update / baseline
sudo rkhunter --propupd
Output
File created: searched for 177 files, found 145
Run
Jalankan
sudo rkhunter -c --enable all --disable none
Dia akan menjalan test per section.
Log bisa di baca di
sudo nano /var/log/rkhunter.log
atau
cat /var/log/rkhunter.log | grep Warning
Alternative lain, perintahkan rkhunter untuk print warning ke layar
sudo rkhunter -c --enable all --disable none --rwo
Tuning Konfigurasi RKHunter supaya lebih baik
Edit
sudo vi /etc/rkhunter.conf
Notifikasi email
MAIL-ON-WARNING="your_user@domain.com" MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
atau
MAIL-ON-WARNING="root@localhost" MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Whitelist File yang baik, contoh
SCRIPTWHITELIST="/usr/sbin/adduser" SCRIPTWHITELIST="/usr/bin/ldd" SCRIPTWHITELIST="/bin/egrep" SCRIPTWHITELIST="/bin/fgrep" SCRIPTWHITELIST="/bin/which" SCRIPTWHITELIST="/usr/bin/unhide.rb"
Whitelist File di /dev, contoh,
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" ALLOWHIDDENDIR="/dev/.udev" ALLOWHIDDENFILE="/dev/.blkid.tab" ALLOWHIDDENFILE="/dev/.blkid.tab.old" ALLOWHIDDENFILE="/dev/.initramfs"
Ijinkan Root SSH Login, contoh
ALLOW_SSH_ROOT_USER=without-password
Cek Konfigurasi
Cek
sudo rkhunter -C
Test lagi apakah ada warning
sudo rkhunter -c --enable all --disable none --rwo
Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah,
Warning: The file properties have changed: File: /etc/rkhunter.conf Current hash: fa8ad80a18100e669be507e69d0cbb88348fc07d Stored hash : f9015108a2f6d8044126351cf16235c55993ff7a Current inode: 2098189 Stored inode: 2100424 Current size: 37607 Stored size: 37359 Current file modification time: 1388443781 (30-Dec-2013 17:49:41) Stored file modification time : 1388442019 (30-Dec-2013 17:20:19)
Update profile rkhunter
sudo rkhunter --propupd
Cek email untuk notifikasi dari rkhunter
Cron
sudo crontab -e 15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet
Kalau tidak ada masalah, maka tidak ada email yang akan dikirim