{"id":2034,"date":"2021-11-10T10:58:29","date_gmt":"2021-11-10T09:58:29","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=2034"},"modified":"2021-11-10T13:52:50","modified_gmt":"2021-11-10T12:52:50","slug":"rkhunter-su-devuan-4","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=2034","title":{"rendered":"Rkhunter su Devuan 4"},"content":{"rendered":"

Rkhunter di cui ho gi\u00e0 scritto in precedenza significa letteralmente cacciatore di root kit.
\n<\/span><\/span> Un root kit \u00e8 un insieme di programmi installati dai cracker quando riescono a penetrare in un sistema, un root kit p<\/span>u\u00f2 essere installato anche da virus.
\n<\/span><\/span> Questi programmi hanno lo scopo di inviare informazioni dal sistema infetto alle macchine del cracker o di eseguire qualsiasi comando arbitrario da parte\u00a0 dell’attaccante in nome del proprietario del sistema infetto.
\n<\/span> Rkhunter ha un database di root kit conosciuti e cerca qualsiasi traccia di questi root kit.
\n<\/span> Verifica anche i fingerprint dei programmi di sistema critici per rilevare eventuali modifiche.
\n<\/span> Automatizza gli snapshot con apt ad ogni installazione di software aggiuntivi.<\/span>
\nInvia notifiche e-mail quando viene rilevato qualcosa.
\nAnche qui passando a Chimaera sono cambiate un po di cose seguendo una guida trovata in rete la procedura \u00e8 questa, per prima cosa do a debconf le risposte alle domande che verranno poste dal pacchetto al momento dell’installazione. Voglio che RKHunter venga eseguito ogni giorno per controllare il mio filesystem, voglio che aggiorni automaticamente il database delle vulnerabilit\u00e0 e voglio che venga eseguito automaticamente dopo l’installazione di ogni pacchetto per prendere il fingerprint\u00a0\u00a0\u00a0 del pacchetto che si suppone pulito.
\nQuest’ultimo pu\u00f2 essere pericoloso se usi apt per installare, aggiornare o rimuovere un pacchetto, attiver\u00e0 automaticamente un nuovo snapshot e legittimer\u00e0 i file correnti.
\n\u00c8 una scelta calcolata, sono abbastanza certo che non sia facile sfondare e modificare i server di Devuan (anche se con Debian in passato purtroppo \u00e8 successo), non \u00e8 una scelta obbligata quindi se non siete sicuri lasciate stare.
\necho ‘rkhunter rkhunter\/cron_daily_run boolean true’ | debconf-set-selections
\necho ‘rkhunter rkhunter\/cron_db_update boolean true’ | debconf-set-selections
\necho ‘rkhunter rkhunter\/apt_autogen boolean true’ | debconf-set-selections
\nquindi:
\n<\/span><\/span><\/p>\n

apt-get install -y rkhunter
\nPrima ancora di configurare rkhunter aggiungo in un file separato dal nome rkhunter.conf.local queste righe:<\/p>\n

PKGMGR=DPKG
\nALLOWPROCDELFILE=\/usr\/sbin\/cron
\nALLOWPROCDELFILE=\/usr\/bin\/dash
\nALLOWPROCDELFILE=\/usr\/bin\/run-parts
\nSCRIPTWHITELIST=\/bin\/egrep
\nSCRIPTWHITELIST=\/bin\/fgrep
\nSCRIPTWHITELIST=\/usr\/bin\/which
\nPORT_PATH_WHITELIST=\/usr\/sbin\/portsentry
\nALLOW_SSH_ROOT_USER=prohibit-password
\nla prima serve ad evitare dei warning se un programma \u00e8 stato sostituito ad esempio con uno script, in altre parole evita dei falsi positivi.
\nPasso alla modifica del file rkhunter.conf vero e proprio di seguito solo le righe modificate o scommentate<\/p>\n

UPDATE_MIRRORS=1
\nMIRRORS_MODE=0
\nMAIL-ON-WARNING=root
\nMAIL_CMD=mail -s “[rkhunter] Warnings found for ${HOST_NAME}”
\nTMPDIR=\/var\/lib\/rkhunter\/tmp
\nDBDIR=\/var\/lib\/rkhunter\/db
\nSCRIPTDIR=\/usr\/share\/rkhunter\/scripts
\nUPDATE_LANG=”en”
\nLOGFILE=\/var\/log\/rkhunter.log
\nUSE_SYSLOG=authpriv.warning
\nAUTO_X_DETECT=1
\nALLOW_SSH_PROT_V1=2
\nENABLE_TESTS=ALL
\nDISABLE_TESTS=suspscan hidden_ports hidden_procs deleted_files packet_cap_apps apps
\nSCRIPTWHITELIST=\/bin\/egrep
\nSCRIPTWHITELIST=\/bin\/fgrep
\nSCRIPTWHITELIST=\/usr\/bin\/which
\nSCRIPTWHITELIST=\/usr\/bin\/ldd
\nSCRIPTWHITELIST=\/usr\/sbin\/adduser
\nWEB_CMD=wget
\nINSTALLDIR=\/usr
\nfacciamo un update del DB con rkhunter –(sono 2 meno)update
\n[ Rootkit Hunter version 1.4.6 ]<\/p>\n

Checking rkhunter data files…
\nChecking file mirrors.dat [ Updated ]
\nChecking file programs_bad.dat [ No update ]
\nChecking file backdoorports.dat [ No update ]
\nChecking file suspscan.dat [ No update ]
\nChecking file i18n\/cn [ Skipped ]
\nChecking file i18n\/de [ Skipped ]
\nChecking file i18n\/en [ No update ]
\nChecking file i18n\/tr [ Skipped ]
\nChecking file i18n\/tr.utf8 [ Skipped ]
\nChecking file i18n\/zh [ Skipped ]
\nChecking file i18n\/zh.utf8 [ Skipped ]
\nChecking file i18n\/ja [ Skipped ]
\ne quindi creiamo lo snapshot iniziale con<\/p>\n

rkhunter –(sono 2 meno)propupd
\n[ Rootkit Hunter version 1.4.6 ]
\nFile created: searched for 179 files, found 143<\/p>\n

e quindi testiamo il tutto con un :
\nrkhunter -c –enable all –disable none –skip-keypress
\nche dopo qualche istante restituisce:<\/p>\n

 <\/p>\n

System checks summary
\n=====================<\/p>\n

File properties checks…
\nFiles checked: 143
\nSuspect files: 0<\/p>\n

Rootkit checks…
\nRootkits checked : 502
\nPossible rootkits: 0<\/p>\n

Applications checks…
\nApplications checked: 4
\nSuspect applications: 0<\/p>\n

The system checks took: 45 seconds<\/p>\n

All results have been written to the log file: \/var\/log\/rkhunter.log<\/p>\n

No warnings were found while checking the system.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Rkhunter di cui ho gi\u00e0 scritto in precedenza significa letteralmente cacciatore di root kit. Un root kit \u00e8 un insieme di programmi installati dai cracker quando riescono a penetrare in un sistema, un root kit pu\u00f2 essere installato anche da virus. Questi programmi hanno lo scopo di inviare informazioni dal sistema infetto alle macchine del […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[110,14,6],"tags":[],"class_list":["post-2034","post","type-post","status-publish","format-standard","hentry","category-ids","category-networking","category-work"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/2034","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2034"}],"version-history":[{"count":4,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/2034\/revisions"}],"predecessor-version":[{"id":2054,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/2034\/revisions\/2054"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2034"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2034"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2034"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}