→ retour au menu pour les actions préventives

But

Le module ROOTCHECK a pour tâche de repérer divers malwares. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article.

Configuration

Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".

Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".

La configuration est comprise entre les balises <rootcheck> et </rootcheck>. Celle venant en base lors de l’installation est suffisante.

Voici une configuration de base:

 <rootcheck>
   <disabled>no</disabled>
   <check_files>yes</check_files>
   <check_trojans>yes</check_trojans>
   <check_dev>yes</check_dev>
   <check_sys>yes</check_sys>
   <check_pids>yes</check_pids>
   <check_ports>yes</check_ports>
   <check_if>yes</check_if>
   <!-- Frequency that rootcheck is executed - every 12 hours -->
   <frequency>43200</frequency>
   <rootkit_files>etc/rootcheck/rootkit_files.txt</rootkit_files>
   <rootkit_trojans>etc/rootcheck/rootkit_trojans.txt</rootkit_trojans>
   <skip_nfs>yes</skip_nfs>
 </rootcheck>

Les noms des options sont assez explicites.

Les fichiers de règles sont fournis lors de l'installation.

Vérification

En premier lieu, suivez l'exécution du module "ROOTCHECK" dans le fichier journal "/var/ossec/logs/ossec.log". Repérez toute erreur et y remédier. Voici un extrait du journal:

2022/11/23 06:25:05 rootcheck: INFO: Starting rootcheck scan.
2022/11/23 06:28:14 rootcheck: INFO: Ending rootcheck scan.

Note

Auparavant ce module assurait l'audit des systèmes; cette partie est obsolète au profit du module SCA.

→ retour au menu pour les actions préventives