rkdet ドキュメント和訳

LinuxSoft

rkdet - rootkit detector for Linux †

ドキュメント和訳について †

　オリジナルのドキュメントは http://vancouver-webpages.com/rkdet/ です。

概要 †

　　このデーモン(rkdet)は Rootkit*1 やパケットスニファ（パケットキャプチャ）を意図する行為を細くすることを目的としたものです。デーモン自体は無害で非常に小さな動作で稼働できるよう設計されています。もし異常を検出すると、ログファイルを添付したメールを送信し、直ちにネットワークもしくはシステムを停止させます。機能として通常のマルチユーザシステムで最小限で稼働するように設計されており、Linux カーネルの変更やシステムの変更を必要としません。

　開発に至る背景

　背景：侵入者はありとあらゆる手段を用いてあなたが運用しているシステムへの侵入を試みるかもしれません。侵入方法としては権限のあるユーザのパスワードを盗むかも知れませんし、ネットワーク上のパケット盗聴（スニッファ）によってパスワード情報を入手するかもしれません。あるいは、システム上で動作するデーモンに対してバッファ・オーバランといったセキュリティホールへの攻撃を試みるかも知れないのです。もし侵入者にアクセスされてしまうと、クラッカー*2によって Eggdrop といった IRC ロボットを動作させるだけの為に CPU を消費させたり、いろんな手段でパスワード情報を入手するかもしれません（たとえシステムのパスワードがシャドウ化されていてもです）。あるいは純粋にクラッキング用ツールをや盗んだデータを保存していくだけかもしれません。とはいっても、クラッカーが侵入形跡を消去したり悪質なプログラムを実行するようになるまでは、いくつものステップを踏まなくてはいけません。まず、システムを乗っ取る為には root ユーザ権限が必要です。そのためには setuid された mount、cron、あるいはゲームプログラムなどに対する攻撃用のプログラムを用います。その後、多くのクラッカー達は一般的に重要なシステムアカウントを無効にしたり、侵入時のログ記録を削除しようとします。これらに用いるシステム破壊・隠蔽ツールが一般に "Rootkit"(ルートキット)と呼ばれているものです。典型的なものは "ps" や "netstat" コマンドを改竄し、クラッカーが用いるプログラムや接続元の IP アドレスを隠す働きを持ちます。これらシステムコマンドに対して監視をしつづければ、侵入時に侵入を検することが出来るかもしれません。

　もう１つ典型的なものはパケット・スニファをシステムにインストールすることです。侵入したマシンの置かれている同一ネットワーク内にあるマシンへの telnet や ftp のユーザ名とパスワード情報を取得することです。同様に IMAP や POP3 といったメールや Windows のネットワークのログイン情報も取得されてしまうでしょう。もし、このような盗聴活動を監視することができれば（ネットワークインターフェースの状態が promiscuous*3 モードになれば、侵入された可能性が高いと判断できるでしょう（しかしながら、クラッカーはネットワークのモードを変更せず、ただ侵入したマシンの情報を監視しつづけるだけかもしれません）。

• rkdet