GNU/Linux >> Linux の 問題 >  >> Ubuntu

Linuxシステムでバックドア、ルートキット、およびローカルエクスプロイトをスキャンするためにRkhunterを使用する方法

Rkhunterは、Linuxシステムのルートキット、ローカルエクスプロイト、およびバックドアをスキャンするオープンソースのセキュリティ分析および監視ツールです。 Linuxのセキュリティを強化するために、カーネルモジュールの文字列、間違った権限、隠しファイルなどをチェックします。 Bourne Shell(sh)で記述されており、ほとんどすべてのUNIX派生システムと互換性があります。

この記事では、Rkhunterをインストールし、システムをスキャンして、Ubuntu 20.04システムのバックドア、ルートキット、およびローカルエクスプロイトを探します。

Rkhunterのインストール

Ubuntu 20.04以降、Rkhunterはデフォルトのリポジトリからインストールできます。次のaptコマンドを実行して、Rkhunterパッケージをインストールします。

$ sudo apt install rkhunter -y

コマンドを実行すると、メールサーバーのセットアップを要求する次のダイアログが表示されます。次に、[OK]ボタンをクリックします。このダイアログでは、メールサーバーのタイプ情報を確認できます。

メールサーバー構成ウィザード。

この場合も、最初のダイアログでタイプが定義されているため、メールサーバーを選択するように求められます。セットアップでは、「ローカルのみ」を選択します。メールサーバーを選択したら、[OK]をクリックします。

メールサーバー構成ウィザード。

数分後、システムのメール名を尋ねるダイアログが表示されます。メールアドレスをお持ちの場合は、説明に従ってメールアドレスを設定できます。それ以外の場合は、ローカルホストまたはサーバーのホスト名を設定します。次に、[OK]をクリックします。

Postfix設定。

次に、次のコマンドを使用してインストールを確認します。

$ rkhunter --version

Rkhunterの構成

インストールが完了したら、システムを最大限にスキャンできるようにRkhunterを構成する必要があります。次に、次の構成ファイルを開きます。

$ sudo vim /etc/rkhunter.conf

次に、次の変数を見つけて、指定された値に更新します。

UPDATE_MIRRORS=1

デフォルトでは、その値は0に設定されています。これは、ミラーファイルに更新しないことを定義します。更新チェック中に値1を設定すると、rkhunterミラーファイルの更新もチェックされます。

MIRRORS_MODE=0

MIRRORS_MODEは、–updateまたは–versionオプションが使用されている場合に、どのミラーが使用されるかをRkhunterに通知します。 3つのオプションのいずれかが必要です

0 –任意のミラーを使用

1 –ローカルミラーのみを使用

2 –リモートミラーのみを使用する

WEB_CMD =””

WEB_CMDは、Rkhunterがインターネットからファイルをダウンロードするために使用するコマンドを決定します。

上記の構成が設定されたら、構成ファイルを書き込んで終了します。

Rkhunterのインストール中、スクリプトはcronによって定期的に実行されるため、スクリプトファイルは毎日のスキャンと更新のためにcron.dDailyディレクトリに追加されます。したがって、次の構成ファイルの構成を自動スキャンして定期的に更新するように更新してください。

$ sudo vim /etc/default/rkhunter.conf

CRON_DAILY_RUN =” true”

CRON_DB_UPDATE =” true”

APT_AUTOGEN =” true”

構成がすべて設定されたら、次のコマンドを使用して構成が正しく設定されているかどうかを確認できます。

$ sudo rkhunter -C

Rkhunterを更新

Rkhunterは、テキストデータファイルを使用して疑わしいアクティビティを検出します。したがって、頻繁に更新する必要があります。更新の実行を確認するには、

$ sudo rkhunter --update

rkhunterデータファイルの更新を確認してください。

次に、次のコマンドを使用して、ファイルプロパティデータベース全体を更新します。

$ sudo rkhunter --propupd

データファイルを更新しています。

Rkhunterを使用したスキャンシステム

すべての設定が完了したら、rkhunterを使用してシステムチェックを実行できます。

$ sudo rkhunter --check --sk

システムをスキャンしています。

$ sudo rkhunter --check --rwo

警告のみを表示します。

上記のコマンドで、–checkオプションは、システムをスキャンするようにコマンドに指示します。–skオプションは、スキャンを続行するためにEnterキーを押すオプションをスキップし、–rwoは警告メッセージのみを表示します

スキャンした後、次のパスでログを確認して警告を表示できます。

$ sudo cat /var/log/rkhunter.log

結論

これまで、rkhunterをインストールし、必要な構成を構成し、システムをスキャンしてログを表示し、実際のバックドア、ルートキット、およびローカルエクスプロイトを特定する方法を学習しました。


Ubuntu

  1. Linuxシステムリカバリにsystemd-nspawnを使用する方法

  2. Linuxシステムをスキャンして、ルートキット、ワーム、トロイの木馬などを探すにはどうすればよいですか?

  3. Linux で strace および ltrace コマンドを使用する方法

  1. Linuxftpコマンドの使用方法

  2. UbuntuLinuxにHubotをインストールして使用する方法

  3. RockyLinuxにPostgreSQL13をインストールして使用する方法

  1. UbuntuまたはLinuxMintをオフラインで更新およびアップグレードする方法

  2. Ubuntu20.04にSSHGuardをインストールして使用する方法

  3. LinuxシステムにGitをインストールして使用する方法