Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Rkhunter su Devuan 4 —

Rkhunter di cui ho già scritto in precedenza significa letteralmente cacciatore di root kit.
Un root kit è un insieme di programmi installati dai cracker quando riescono a penetrare in un sistema, un root kit può essere installato anche da virus.
Questi programmi hanno lo scopo di inviare informazioni dal sistema infetto alle macchine del cracker o di eseguire qualsiasi comando arbitrario da parte  dell’attaccante in nome del proprietario del sistema infetto.
Rkhunter ha un database di root kit conosciuti e cerca qualsiasi traccia di questi root kit.
Verifica anche i fingerprint dei programmi di sistema critici per rilevare eventuali modifiche.
Automatizza gli snapshot con apt ad ogni installazione di software aggiuntivi.
Invia notifiche e-mail quando viene rilevato qualcosa.
Anche qui passando a Chimaera sono cambiate un po di cose seguendo una guida trovata in rete la procedura è questa, per prima cosa do a debconf le risposte alle domande che verranno poste dal pacchetto al momento dell’installazione. Voglio che RKHunter venga eseguito ogni giorno per controllare il mio filesystem, voglio che aggiorni automaticamente il database delle vulnerabilità e voglio che venga eseguito automaticamente dopo l’installazione di ogni pacchetto per prendere il fingerprint    del pacchetto che si suppone pulito.
Quest’ultimo può essere pericoloso se usi apt per installare, aggiornare o rimuovere un pacchetto, attiverà automaticamente un nuovo snapshot e legittimerà i file correnti.
È una scelta calcolata, sono abbastanza certo che non sia facile sfondare e modificare i server di Devuan (anche se con Debian in passato purtroppo è successo), non è una scelta obbligata quindi se non siete sicuri lasciate stare.
echo ‘rkhunter rkhunter/cron_daily_run boolean true’ | debconf-set-selections
echo ‘rkhunter rkhunter/cron_db_update boolean true’ | debconf-set-selections
echo ‘rkhunter rkhunter/apt_autogen boolean true’ | debconf-set-selections
quindi:

apt-get install -y rkhunter
Prima ancora di configurare rkhunter aggiungo in un file separato dal nome rkhunter.conf.local queste righe:

PKGMGR=DPKG
ALLOWPROCDELFILE=/usr/sbin/cron
ALLOWPROCDELFILE=/usr/bin/dash
ALLOWPROCDELFILE=/usr/bin/run-parts
SCRIPTWHITELIST=/bin/egrep
SCRIPTWHITELIST=/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
PORT_PATH_WHITELIST=/usr/sbin/portsentry
ALLOW_SSH_ROOT_USER=prohibit-password
la prima serve ad evitare dei warning se un programma è stato sostituito ad esempio con uno script, in altre parole evita dei falsi positivi.
Passo alla modifica del file rkhunter.conf vero e proprio di seguito solo le righe modificate o scommentate

UPDATE_MIRRORS=1
MIRRORS_MODE=0
MAIL-ON-WARNING=root
MAIL_CMD=mail -s “[rkhunter] Warnings found for ${HOST_NAME}”
TMPDIR=/var/lib/rkhunter/tmp
DBDIR=/var/lib/rkhunter/db
SCRIPTDIR=/usr/share/rkhunter/scripts
UPDATE_LANG=”en”
LOGFILE=/var/log/rkhunter.log
USE_SYSLOG=authpriv.warning
AUTO_X_DETECT=1
ALLOW_SSH_PROT_V1=2
ENABLE_TESTS=ALL
DISABLE_TESTS=suspscan hidden_ports hidden_procs deleted_files packet_cap_apps apps
SCRIPTWHITELIST=/bin/egrep
SCRIPTWHITELIST=/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/sbin/adduser
WEB_CMD=wget
INSTALLDIR=/usr
facciamo un update del DB con rkhunter –(sono 2 meno)update
[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files…
Checking file mirrors.dat [ Updated ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Skipped ]
Checking file i18n/de [ Skipped ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ Skipped ]
Checking file i18n/tr.utf8 [ Skipped ]
Checking file i18n/zh [ Skipped ]
Checking file i18n/zh.utf8 [ Skipped ]
Checking file i18n/ja [ Skipped ]
e quindi creiamo lo snapshot iniziale con

rkhunter –(sono 2 meno)propupd
[ Rootkit Hunter version 1.4.6 ]
File created: searched for 179 files, found 143

e quindi testiamo il tutto con un :
rkhunter -c –enable all –disable none –skip-keypress
che dopo qualche istante restituisce:

 

System checks summary
=====================

File properties checks…
Files checked: 143
Suspect files: 0

Rootkit checks…
Rootkits checked : 502
Possible rootkits: 0

Applications checks…
Applications checked: 4
Suspect applications: 0

The system checks took: 45 seconds

All results have been written to the log file: /var/log/rkhunter.log

No warnings were found while checking the system.

 


Categorised as: IDS | Networking | Work

Comments are disabled on this post


Comments are closed.


Hide picture