« LINUX:Rkhunter » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 14 : | Ligne 14 : | ||
dnf install unhide | dnf install unhide | ||
dnf install tripwire | dnf install tripwire | ||
Un autre programme n'est pas dans la distribution: skdet; il faut donc le télécharger sur le site d'origine. | Un autre programme n'est pas dans la distribution: "skdet"; il faut donc le télécharger sur le site d'origine. | ||
Vérifiez la version du fichier directement sur le site <nowiki>http://dvgevers.home.xs4all.nl/skdet/</nowiki> | Vérifiez la version du fichier directement sur le site "<nowiki>http://dvgevers.home.xs4all.nl/skdet/</nowiki>" | ||
Actuellement, c'est la version: 1.0-1 que l'on télécharge: | Actuellement, c'est la version: 1.0-1 que l'on télécharge: | ||
wget http://dvgevers.home.xs4all.nl/skdet/skdet-1.0-1.i586.rpm | wget <nowiki>http://dvgevers.home.xs4all.nl/skdet/skdet-1.0-1.i586.rpm</nowiki> | ||
Il peut être nécessaire d'installer glibc: | Il peut être nécessaire d'installer glibc qui lui est cécessaire: | ||
dnf install glibc | dnf install glibc | ||
Ensuite on installe le logiciel: | Ensuite on installe le logiciel: | ||
| Ligne 25 : | Ligne 25 : | ||
=Configuration= | =Configuration= | ||
Cet utilitaire est lancé chaque jour via le CRON de Linux. Le fichier "/etc//cron.daily/rkhunter". Ce dernier utilise des variables d'environnement contenues dans le fichier "/etc/sysconfif/rkhunter". Là vous pouvez configurer l'adresse | Cet utilitaire est lancé chaque jour via le CRON de Linux. Le fichier "/etc//cron.daily/rkhunter" effectue cette tâche et envoie un mail contenant le rapport. Ce dernier utilise des variables d'environnement contenues dans le fichier "/etc/sysconfif/rkhunter". Là vous pouvez configurer l'adresse mail qui recevra ce rapport (variable MAILTO). | ||
| Ligne 31 : | Ligne 31 : | ||
Dans ce fichier, il y a quelques options à considérer: | Dans ce fichier, il y a quelques options à considérer: | ||
* l'option suivante définit les tests à faire: tous; | * l'option suivante définit les tests à faire: tous sont à faire; | ||
ENABLE_TESTS=ALL | ENABLE_TESTS=ALL | ||
* mais un test, amène des | * mais un test, amène des fauts positifs; | ||
DISABLE_TESTS=deleted_files | DISABLE_TESTS=deleted_files | ||
* j'ai eu deux cas de fichiers spéciaux considérés à problème; on les met sur liste blanche; | * j'ai eu deux cas de fichiers spéciaux considérés à problème; on les met sur liste blanche; | ||
ALLOWHIDDENFILE=/usr/share/man/fr/man1/..1.gz | ALLOWHIDDENFILE=/usr/share/man/fr/man1/..1.gz | ||
ALLOWHIDDENFILE=/usr/share/man/man5/.dockerignore.5.gz | ALLOWHIDDENFILE=/usr/share/man/man5/.dockerignore.5.gz | ||
Ensuite il faut reconstituer la base de données des signatures digitales après une mise à jour; on le verra au point suivant. | Ensuite il faut reconstituer la base de données des signatures digitales avant le premier démarrage et après une mise à jour; on le verra au point suivant. | ||
Avec cette configuration, | Avec cette configuration, je n'ai plus d'alarme. | ||
| Ligne 46 : | Ligne 46 : | ||
La commande suivante permet de mettre à jour diverses informations se trouvant sur Internet: | La commande suivante permet de mettre à jour diverses informations se trouvant sur Internet: | ||
rkhunter --update | rkhunter --update | ||
Notons que cette commande est exécutée d | Notons que cette commande est exécutée d'office lors du traitement par le CRON. | ||
La commande suivante est importante; elle crée la base de données des signatures digitales de divers programmes importants de l'OS: | La commande suivante est importante; elle crée la base de données des signatures digitales de divers programmes importants de l'OS: | ||
'''rkhunter --propupd''' | '''rkhunter --propupd''' | ||
Il faut absolument l'exécuter avant la première série de tests. Il est utile de le faire une mise à jour mais de façon intelligente; faites les tests et comparez ce qui est mis en alarme avec ce qui a été mis à jour. | Il faut absolument l'exécuter avant la première série de tests. Il est utile de le faire après une mise à jour mais de façon intelligente; faites les tests et comparez ce qui est mis en alarme avec ce qui a été mis à jour. | ||
Enfin on peut faire les tests: | Enfin on peut faire les tests: | ||
| Ligne 56 : | Ligne 56 : | ||
ou | ou | ||
'''rkhunter -c -sk''' | '''rkhunter -c -sk''' | ||
En plus du rapport succinct qui apparaît à l'écran, le fichier "'''/var/log/rkhunter/rkhunter.log'''" vous permet de repérer le détail du problème. | En plus du rapport succinct qui apparaît à l'écran, le fichier "'''/var/log/rkhunter/rkhunter.log'''" vous permet de repérer le détail du problème. | ||
Tout problème est affiché en rouge ou sous forme d'un récapitulatif simple. | |||
Version du 15 février 2022 à 20:45
→ retour au menu pour contrer les attaques
But
"rkhunter" (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. En premier temps, il va comparer les empreintes digitales avec une base de données qu'il s'est constituée et ensuite la présence de fichiers, de ports réseaux douteux,...
Installation
Il faut installer le module principal:
dnf install rkhunter
D'autres programmes sont souhaités:
dnf install unhide dnf install tripwire
Un autre programme n'est pas dans la distribution: "skdet"; il faut donc le télécharger sur le site d'origine. Vérifiez la version du fichier directement sur le site "http://dvgevers.home.xs4all.nl/skdet/" Actuellement, c'est la version: 1.0-1 que l'on télécharge:
wget http://dvgevers.home.xs4all.nl/skdet/skdet-1.0-1.i586.rpm
Il peut être nécessaire d'installer glibc qui lui est cécessaire:
dnf install glibc
Ensuite on installe le logiciel:
rpm -iv skdet-1.0-1.i586.rpm
Configuration
Cet utilitaire est lancé chaque jour via le CRON de Linux. Le fichier "/etc//cron.daily/rkhunter" effectue cette tâche et envoie un mail contenant le rapport. Ce dernier utilise des variables d'environnement contenues dans le fichier "/etc/sysconfif/rkhunter". Là vous pouvez configurer l'adresse mail qui recevra ce rapport (variable MAILTO).
Le fichier de configuration principal se nomme "/etc/rkhunter.conf".
Dans ce fichier, il y a quelques options à considérer:
- l'option suivante définit les tests à faire: tous sont à faire;
ENABLE_TESTS=ALL
- mais un test, amène des fauts positifs;
DISABLE_TESTS=deleted_files
- j'ai eu deux cas de fichiers spéciaux considérés à problème; on les met sur liste blanche;
ALLOWHIDDENFILE=/usr/share/man/fr/man1/..1.gz ALLOWHIDDENFILE=/usr/share/man/man5/.dockerignore.5.gz
Ensuite il faut reconstituer la base de données des signatures digitales avant le premier démarrage et après une mise à jour; on le verra au point suivant.
Avec cette configuration, je n'ai plus d'alarme.
Utilisation
La commande suivante permet de mettre à jour diverses informations se trouvant sur Internet:
rkhunter --update
Notons que cette commande est exécutée d'office lors du traitement par le CRON.
La commande suivante est importante; elle crée la base de données des signatures digitales de divers programmes importants de l'OS:
rkhunter --propupd
Il faut absolument l'exécuter avant la première série de tests. Il est utile de le faire après une mise à jour mais de façon intelligente; faites les tests et comparez ce qui est mis en alarme avec ce qui a été mis à jour.
Enfin on peut faire les tests:
rkhunter --check -sk
ou
rkhunter -c -sk
En plus du rapport succinct qui apparaît à l'écran, le fichier "/var/log/rkhunter/rkhunter.log" vous permet de repérer le détail du problème.
Tout problème est affiché en rouge ou sous forme d'un récapitulatif simple.
→ retour au menu pour contrer les attaques