Rkhunter
Intro
Salah satu perhatian potensial adalah rootkit. Rootkit adalah perangkat lunak yang diam-diam diinstal oleh penyusup jahat yang memungkinkan pengguna tersebut melanjutkan akses ke server setelah keamanan dilanggar. Ini adalah masalah yang sangat berbahaya, karena bahkan setelah masuknya vektor yang pengguna awalnya gunakan untuk mendapatkan akses adalah tetap, mereka dapat terus masuk ke server menggunakan rootkit yang mereka pasang.
Salah satu alat yang bisa membantu anda melindungi sistem anda dari masalah seperti ini adalah rkhunter. Perangkat lunak ini memeriksa sistem anda terhadap database rootkit yang diketahui. Selain itu, ia dapat memeriksa file sistem lain untuk memastikannya sesuai dengan properti dan nilai yang diharapkan.
Compile RKHunter
Instal aplikasi pendukung
sudo apt-get update sudo apt-get install binutils libreadline5 libruby1.8 ruby ruby1.8 ssl-cert unhide.rb mailutils
Cek versi terakhir rkhunter di www.sf.net, saat rkhunter di coba versinya adalah 1.4.2
cd /usr/loca/src wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz tar xzvf rkhunter* cd rkhunter*
Inside, we should see a "files" directory, and an installer script. We will use this to install our program. Specify the layout to install it in the /usr directory so that it will be in our default path:
sudo ./installer.sh --layout /usr --install
Untuk testing set "Local Only".
Untuk operasional perlu set FQDN.
Cek Konfigurasi
Cek
sudo rkhunter --versioncheck
[ Rootkit Hunter version 1.4.0 ] Checking rkhunter version... This version : 1.4.0 Latest version: 1.4.0
Update data file
sudo rkhunter --update
Set properties update / baseline
sudo rkhunter --propupd
File created: searched for 167 files, found 136
Run
Jalankan
sudo rkhunter -c --enable all --disable none
Dia akan menjalan test per section.
Log bisa di baca di
sudo nano /var/log/rkhunter.log
Cari kata "Warning".
Alternative lain, perintahkan rkhunter untuk print warning ke layar
sudo rkhunter -c --enable all --disable none --rwo
Edit Konfigurasi RKHunter supaya baik
Edit
sudo nano /etc/rkhunter.conf
Notifikasi email
MAIL-ON-WARNING="your_user@domain.com"
atau
MAIL-ON-WARNING="root@localhost" MAIL_CMD=mail -s "[rkhunter] Warnings found for ${HOST_NAME}"
Whitelist File yang baik, contoh
SCRIPTWHITELIST="/usr/sbin/adduser" SCRIPTWHITELIST="/usr/bin/ldd" SCRIPTWHITELIST="/usr/bin/unhide.rb" SCRIPTWHITELIST="/bin/which"
Whitelist File di /dev, contoh,
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" ALLOWHIDDENDIR="/dev/.udev" ALLOWHIDDENFILE="/dev/.blkid.tab" ALLOWHIDDENFILE="/dev/.blkid.tab.old" ALLOWHIDDENFILE="/dev/.initramfs"
Ijinkan Root SSH Login, contoh
ALLOW_SSH_ROOT_USER=yes
Cek Konfigurasi
Cek
sudo rkhunter -C
Test lagi apakah ada warning
sudo rkhunter -c --enable all --disable none --rwo
Harusnya ada minimsal 1 warning, karena konfigurasi rkhunter sudah di ubah,
Warning: The file properties have changed: File: /etc/rkhunter.conf Current hash: fa8ad80a18100e669be507e69d0cbb88348fc07d Stored hash : f9015108a2f6d8044126351cf16235c55993ff7a Current inode: 2098189 Stored inode: 2100424 Current size: 37607 Stored size: 37359 Current file modification time: 1388443781 (30-Dec-2013 17:49:41) Stored file modification time : 1388442019 (30-Dec-2013 17:20:19)
Update profile rkhunter
sudo rkhunter --propupd
Cek email untuk notifikasi dari rkhunter
Cron
sudo crontab -e 15 04 * * * /usr/bin/rkhunter --cronjob --update --quiet
Kalau tidak ada masalah, maka tidak ada email yang akan dikirim