Rkhunter
rkhunter (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur lorsqu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc.
De part l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements son bénins et peuvent être ignorés.
Installation
Configuration
La configuration de rkhunter se trouve dans les fichiers /etc/rkhunter.conf et /etc/default/rkhunter.
En particulier, il peut être intéressant, dans /etc/default/rkhunter, d'indiquer les options :
- /etc/default/rkhunter
REPORT_EMAIL="admin@mail.com" CRON_DAILY_RUN="yes"
Par ailleurs, pour éviter les faux positifs, il est possible d'indiquer ceux-ci dans /etc/rkhunter.conf. Ex :
- /etc/rkhunter.conf
ALLOWHIDDENDIR="/dev/.udev" ALLOWHIDDENDIR="/dev/.static" ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
Pour éviter d'autres faux positifs, on peut mettre la config suivante dans /etc/rkhunter.conf, pour qu'il se base sur dpkg pour vérifier la légitimité de certains fichiers (source: http://sourceforge.net/p/rkhunter/mailman/message/31460254/)
- /etc/rkhunter.conf
PKGMGR=DPKG
Utilisation
Vérifier que vous avez la dernière version :
sudo rkhunter --versioncheck
Mettre à jour le programme :
sudo rkhunter --update
Lister les différents tests effectués :
sudo rkhunter --list
Effectuer une vérification :
sudo rkhunter --checkall
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]
Dans ce cas lancez :
sudo rkhunter --propupd
Vérification avec juste les alertes importantes :
sudo rkhunter -c --rwo
Désinstallation
Pour supprimer cette application, il suffit de supprimer son paquet. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez.
Problèmes connus
Pour ceux qui bien que comprenant un minimum le fonctionnement de rkhunter seraient victimes de rapports incessants concernant initramfs sous 12.04. (ou 11.10 ça doit le faire aussi) Autrement dit ce(s) bug(s) : https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/1004816 qui semble avoir pris sa source encore avant : https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/883324 )
Une bonne solution vérifiée se trouve ici : http://ubuntuforums.org/showthread.php?t=2086933
Voir aussi
—- Contributeur principal : anonyme.