Rootkit Hunter
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[LinuxSoft]]
#contents
----
* Rootkit Hunter で不正侵入検知! [#k8310399]
** Rootkit Hunter (ルートキット・ハンター)って何? [#pf...
まずはじめに、Rootkit(ルートキット)というのは UNIX シ...
この Rootkit Hunter を使うことで、不正に設置されたツー...
Rootkit Hunter がもし改竄を検出すると……
/usr/bin/stat ...
/usr/bin/users ...
/usr/bin/w ...
/usr/bin/watch ...
/usr/bin/who ...
/usr/bin/whoami ...
--------------------------------------------------------...
Rootkit Hunter found some bad or unknown hashes. This ca...
binaries or updated packages (which give other hashes). ...
fully updated (rkhunter --update). If you're in doubt ab...
the author (fill in the contact form).
--------------------------------------------------------...
このように改竄されている可能性のあるファイルが [BAD] と...
インストールしたあとは定期的に cron を使って管理者宛に...
[[公式サイト:http://www.rootkit.nl/projects/rootkit_hun...
> Rootkit スキャナーを用いて不愉快なツールの 99.9% を検出...
-- MD5 ハッシュ値の比較
-- rootkit によって用いられるディレクトリの走査
-- 実行ファイルの不適切なパーミッション
-- LKM((Lodable Kanerl Module = カーネルモジュール)) や K...
-- 隠れているファイルの検索
-- テキスト形式とバイナリ形式によるファイル検査
との事です。
ラインセンスは GPL なので無料で利用することが出来ます。...
** Rootkit Hunter を入手する [#na8fd1aa]
*** ライセンス [#gdf54db1]
GNU General Public License (GPL)
*** 公式サイト [#dc40fd33]
- http://www.rootkit.nl/projects/rootkit_hunter.html
*** 動作環境 [#n77bd3d5]
[[公式サイトの記述:http://www.rootkit.nl/projects/rootk...
*** ダウンロード [#jef81c3d]
- http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
** Rootkit Hunter の インストールと設定 [#o8cc8e66]
*** インストール [#uf92d868]
ダウンロードしたアーカイブにはインストール用のドキュメ...
まずはファイルの取得から展開までです。
$ cd /usr/local/src
$ wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
$ tar xfz rkhunter-1.2.7.tar.gz
$ cd rkhunter
このあたりはお約束ですね、サクサクッと逝きましょう。
次に root になります。環境によっては sudo されても構い...
$ su
# ./install.sh
以上でセットアップ終わり!
セットアップ先のパスは
/usr/local/bin/rkhunter
です。
ちなみに ./install.sh を実行すると、こんな感じでメッセ...
# ./installer.sh
Rootkit Hunter installer 1.2.4 (Copyright 2003-2005, Mic...
---------------
Starting installation/update
Checking /usr/local... OK
Checking file retrieval tools... /usr/bin/wget
Checking installation directories...
- Checking /usr/local/rkhunter...Created
- Checking /usr/local/rkhunter/etc...Created
- Checking /usr/local/rkhunter/bin...Created
- Checking /usr/local/rkhunter/lib/rkhunter/db...Created
- Checking /usr/local/rkhunter/lib/rkhunter/docs...Created
- Checking /usr/local/rkhunter/lib/rkhunter/scripts...Cr...
- Checking /usr/local/rkhunter/lib/rkhunter/tmp...Created
- Checking /usr/local/etc...Exists
- Checking /usr/local/bin...Exists
Checking system settings...
- Perl... OK
Installing files...
Installing Perl module checker... OK
Installing Database updater... OK
Installing Portscanner... OK
Installing MD5 Digest generator... OK
Installing SHA1 Digest generator... OK
Installing Directory viewer... OK
Installing Database Backdoor ports... OK
Installing Database Update mirrors... OK
Installing Database Operating Systems... OK
Installing Database Program versions... OK
Installing Database Program versions... OK
Installing Database Default file hashes... OK
Installing Database MD5 blacklisted files... OK
Installing Changelog... OK
Installing Readme and FAQ... OK
Installing Wishlist and TODO... OK
Installing RK Hunter configuration file... OK
Installing RK Hunter binary... OK
Configuration updated with installation path (/usr/local...
Installation ready.
See /usr/local/rkhunter/lib/rkhunter/docs for more infor...
*** 初回インストール後の設定 [#ib35d96f]
初回インストール後には念のため Rootkit データベース情報...
# /usr/local/bin/rkhunter --update
** とりあえず実行してみよう [#rac25560]
-c オプションをつけると、とにかくスキャンが始まります。...
# /usr/local/bin/rkhunter -c --skip-keypress
ずらずらっと出てきますが、詳しい解説は以下のページで結...
- [[Fedora Core 4 で Rootkit Hunter を試してみた結果>Rook...
** rkhunter コマンドのオプション [#bad02a00]
オプションはいくつかありますが、その中で実際に使えるのは
- -c = スキャン実行(システムのチェック)
- --cronjob = cron 用の出力。カラー情報が無いのと一部メ...
- --nocolors = カラー表示しない
- --createlogfile = スキャン時のログを /var/log/rkhunter...
- --update = rootkit データベースの更新
こんな感じです。
** 定期的にシステムの情報をメールで送るようにする [#l3b66...
せっかく便利なツールなので、cron で定期的に自動実行させ...
# vi /usr/local/bin/rkhunter-mail.sh
ファイルの中身は以下のようにします。
#!/bin/sh
/usr/local/bin/rkhunter -c --skip-keypress --cronjob | \
mail -s "[Rootkit Hunter] HOSTNAME `date +%Y-%m-...
このように記述してください。HOSTNAME は自分のホスト名を...
次に実行権限を与えます。
# chmod +x /usr/local/bin/rkhunter-mail.sh
次は cron への登録です。
# crontab -e
と実行します。vi の cron 編集画面になりますので、
00 01 * * * /usr/local/bin/rkhunter-mail.sh > /dev/...
00 01 * * sun /usr/local/bin/rkhunter --update > /dev/...
この記述例では、毎日午前1時に rkhunter (Rootkit Hunter...
下の行では毎週日曜日の午前1時に Rootkit Hunter のデー...
* Rootkit Hunter FAQ [#o34b2258]
Rootkit Hunter の FAQ はこちらです。
http://www.rootkit.nl/articles/rootkit_hunter_faq.html
* Rootkit Hunter FAQ 日本語版 [#ic769d57]
[[Rootkit Hunter FAQ を日本語化してみました>Rootkit Hun...
終了行:
[[LinuxSoft]]
#contents
----
* Rootkit Hunter で不正侵入検知! [#k8310399]
** Rootkit Hunter (ルートキット・ハンター)って何? [#pf...
まずはじめに、Rootkit(ルートキット)というのは UNIX シ...
この Rootkit Hunter を使うことで、不正に設置されたツー...
Rootkit Hunter がもし改竄を検出すると……
/usr/bin/stat ...
/usr/bin/users ...
/usr/bin/w ...
/usr/bin/watch ...
/usr/bin/who ...
/usr/bin/whoami ...
--------------------------------------------------------...
Rootkit Hunter found some bad or unknown hashes. This ca...
binaries or updated packages (which give other hashes). ...
fully updated (rkhunter --update). If you're in doubt ab...
the author (fill in the contact form).
--------------------------------------------------------...
このように改竄されている可能性のあるファイルが [BAD] と...
インストールしたあとは定期的に cron を使って管理者宛に...
[[公式サイト:http://www.rootkit.nl/projects/rootkit_hun...
> Rootkit スキャナーを用いて不愉快なツールの 99.9% を検出...
-- MD5 ハッシュ値の比較
-- rootkit によって用いられるディレクトリの走査
-- 実行ファイルの不適切なパーミッション
-- LKM((Lodable Kanerl Module = カーネルモジュール)) や K...
-- 隠れているファイルの検索
-- テキスト形式とバイナリ形式によるファイル検査
との事です。
ラインセンスは GPL なので無料で利用することが出来ます。...
** Rootkit Hunter を入手する [#na8fd1aa]
*** ライセンス [#gdf54db1]
GNU General Public License (GPL)
*** 公式サイト [#dc40fd33]
- http://www.rootkit.nl/projects/rootkit_hunter.html
*** 動作環境 [#n77bd3d5]
[[公式サイトの記述:http://www.rootkit.nl/projects/rootk...
*** ダウンロード [#jef81c3d]
- http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
** Rootkit Hunter の インストールと設定 [#o8cc8e66]
*** インストール [#uf92d868]
ダウンロードしたアーカイブにはインストール用のドキュメ...
まずはファイルの取得から展開までです。
$ cd /usr/local/src
$ wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
$ tar xfz rkhunter-1.2.7.tar.gz
$ cd rkhunter
このあたりはお約束ですね、サクサクッと逝きましょう。
次に root になります。環境によっては sudo されても構い...
$ su
# ./install.sh
以上でセットアップ終わり!
セットアップ先のパスは
/usr/local/bin/rkhunter
です。
ちなみに ./install.sh を実行すると、こんな感じでメッセ...
# ./installer.sh
Rootkit Hunter installer 1.2.4 (Copyright 2003-2005, Mic...
---------------
Starting installation/update
Checking /usr/local... OK
Checking file retrieval tools... /usr/bin/wget
Checking installation directories...
- Checking /usr/local/rkhunter...Created
- Checking /usr/local/rkhunter/etc...Created
- Checking /usr/local/rkhunter/bin...Created
- Checking /usr/local/rkhunter/lib/rkhunter/db...Created
- Checking /usr/local/rkhunter/lib/rkhunter/docs...Created
- Checking /usr/local/rkhunter/lib/rkhunter/scripts...Cr...
- Checking /usr/local/rkhunter/lib/rkhunter/tmp...Created
- Checking /usr/local/etc...Exists
- Checking /usr/local/bin...Exists
Checking system settings...
- Perl... OK
Installing files...
Installing Perl module checker... OK
Installing Database updater... OK
Installing Portscanner... OK
Installing MD5 Digest generator... OK
Installing SHA1 Digest generator... OK
Installing Directory viewer... OK
Installing Database Backdoor ports... OK
Installing Database Update mirrors... OK
Installing Database Operating Systems... OK
Installing Database Program versions... OK
Installing Database Program versions... OK
Installing Database Default file hashes... OK
Installing Database MD5 blacklisted files... OK
Installing Changelog... OK
Installing Readme and FAQ... OK
Installing Wishlist and TODO... OK
Installing RK Hunter configuration file... OK
Installing RK Hunter binary... OK
Configuration updated with installation path (/usr/local...
Installation ready.
See /usr/local/rkhunter/lib/rkhunter/docs for more infor...
*** 初回インストール後の設定 [#ib35d96f]
初回インストール後には念のため Rootkit データベース情報...
# /usr/local/bin/rkhunter --update
** とりあえず実行してみよう [#rac25560]
-c オプションをつけると、とにかくスキャンが始まります。...
# /usr/local/bin/rkhunter -c --skip-keypress
ずらずらっと出てきますが、詳しい解説は以下のページで結...
- [[Fedora Core 4 で Rootkit Hunter を試してみた結果>Rook...
** rkhunter コマンドのオプション [#bad02a00]
オプションはいくつかありますが、その中で実際に使えるのは
- -c = スキャン実行(システムのチェック)
- --cronjob = cron 用の出力。カラー情報が無いのと一部メ...
- --nocolors = カラー表示しない
- --createlogfile = スキャン時のログを /var/log/rkhunter...
- --update = rootkit データベースの更新
こんな感じです。
** 定期的にシステムの情報をメールで送るようにする [#l3b66...
せっかく便利なツールなので、cron で定期的に自動実行させ...
# vi /usr/local/bin/rkhunter-mail.sh
ファイルの中身は以下のようにします。
#!/bin/sh
/usr/local/bin/rkhunter -c --skip-keypress --cronjob | \
mail -s "[Rootkit Hunter] HOSTNAME `date +%Y-%m-...
このように記述してください。HOSTNAME は自分のホスト名を...
次に実行権限を与えます。
# chmod +x /usr/local/bin/rkhunter-mail.sh
次は cron への登録です。
# crontab -e
と実行します。vi の cron 編集画面になりますので、
00 01 * * * /usr/local/bin/rkhunter-mail.sh > /dev/...
00 01 * * sun /usr/local/bin/rkhunter --update > /dev/...
この記述例では、毎日午前1時に rkhunter (Rootkit Hunter...
下の行では毎週日曜日の午前1時に Rootkit Hunter のデー...
* Rootkit Hunter FAQ [#o34b2258]
Rootkit Hunter の FAQ はこちらです。
http://www.rootkit.nl/articles/rootkit_hunter_faq.html
* Rootkit Hunter FAQ 日本語版 [#ic769d57]
[[Rootkit Hunter FAQ を日本語化してみました>Rootkit Hun...
ページ名:
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
