パソコン鳥のブログ

アクセスカウンタ

zoom RSS CentOSで使える rootkit検知ツール Rootkit Hunter

<<   作成日時 : 2014/03/20 19:18   >>

トラックバック 0 / コメント 0

CentOSで使える rootkit検知ツールに、Rootkit Hunter があります。
2012年5月以降更新の無かった Rootkit Hunter ですが、先月バージョン1.4.2 がリリースされました。
以降で CentOS6 での Rootkit Hunter について説明します。

なお、CentOSで使える他のrootkit検知ツールに、以下で紹介した chkrootkit もあります。

chkrootkit のSuckit誤検知の修正


ファイルの入手


Rootkit Hunter は以下で入手します。

wget http://rkhunter.sourceforge.net/rkhunter-CVS.tar.gz
tar zxvf rkhunter-CVS.tar.gz



インストールせずに実行してみる


インストール前に、若干設定が必要になるので、まずはインストールせずに実行してみて、適宜設定を行います。

まず、rootユーザで以下を実行します。

cd rkhunter/
./installer.sh --layout custom . --install


これで、rootkit のチェックが出来ます。
チェックをする場合は、下記を実行します。

cd files/
/etc/cron.daily/prelink
./rkhunter --propupd --check --sk --pkgmgr RPM



実行すると、以下のような表示になって、チェックが行われます。

[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 171 files, found 139

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ Warning ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
    /bin/cut                                                 [ OK ]
       :
       :


Warning が出る場合は、以降の記載に従ってください。


Performing file properties checks で Warning が出る場合


Performing file properties checks の箇所で、以下のように Warning が出ることがあります。
下記では、/bin/bash について Warning が出ました。

    /bin/bash                                                [ Warning ]


この場合は、ログ rkhunter.log を確認します。
なお、rkhunter.log はカレントディレクトリ下にあります。

以下のような内容が出力されていることを確認します。

[20:55:38]          Try running the command 'prelink /bin/bash' to resolve dependency errors.


出力されていたら、次を実行します。

prelink /bin/bash


再度 ./rkhunter --propupd --check --sk --pkgmgr RPM で実行すると、Warning がなくなります

     :
  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
     :
     :




Checking application versions で Warning が出る場合


Checking application versions の箇所で、以下のように Warning が出ることがあります。

     :
Checking application versions...

    Checking version of GnuPG                                [ OK ]
    Checking version of Apache                               [ Warning ]
    Checking version of OpenSSL                              [ OK ]
    Checking version of OpenSSH                              [ OK ]
     :
     :


この場合は、ログ rkhunter.log を確認します。
rkhunter.log はカレントディレクトリ下にあります。

すると、ログに下記のような表示が見つかります。

[23:01:21]   Checking version of Apache                      [ Warning ]
[23:01:21] Warning: Application 'httpd', version '2.2.15', is out of date, and possibly a security risk.


Apache のプロセス httpd のバージョンが 2.2.15 で、これは古いバージョンだと言っています。
古いと判断されるバージョンは、Rootkit Hunter のファイル programs_bad.dat に列挙されています。

ただし、CentOS6 の Apache(Httpd)の最新は 2.2.15 でセキュリティパッチも適宜当てられているようなので、バージョン 2.2.15 で Warning が出ないように設定します。

設定は rkhunter.conf の APP_WHITELIST で行います。
下記を追加します。

APP_WHITELIST="httpd:2.2.15"


再度 ./rkhunter --propupd --check --sk --pkgmgr RPM で実行すると、Warning がなくなります

     :
Checking application versions...

    Checking version of GnuPG                                [ OK ]
    Checking version of Apache                               [ OK ]
    Checking version of OpenSSL                              [ OK ]
    Checking version of OpenSSH                              [ OK ]
     :
     :




インストール


Warning が出ずに実行できるようになったら、インストールします。
installer.sh があるディレクトリで、下記を実行します。

./installer.sh --install


これでインストール完了です。

チェックを実行する場合は、以下を実行します。

/etc/cron.daily/prelink
rkhunter --propupd --check --sk --pkgmgr RPM



参考


The Rootkit Hunter project
rkhunterのインストールと設定 - しょぼんメモリ (´・ω・`)
Rootkit Hunter - Pocketstudio.jp Linux Wiki
rkhunterで --propupd してもハッシュが合わない場合 - しょぼんメモリ (´・ω・`)
ヒコウリツチュウ: rkhunterの初期Warning対応
rkhunter | beroの日記 | スラッシュドット・ジャパン






テーマ

関連テーマ 一覧


月別リンク

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
CentOSで使える rootkit検知ツール Rootkit Hunter パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる