rkhunter
rkhunter (Rootkit Hunter) 是一个用于 POSIX 兼容系统的安全监控工具。它扫描 rootkit 和其他可能的漏洞。它通过搜索默认目录(rootkit 的)、错误配置的权限、隐藏文件、包含可疑字符串的内核模块,并将重要文件的哈希值与已知的良好哈希值进行比较来实现这一点。
它使用 Bash 编写,以实现可移植性,并且可以在大多数基于 UNIX 的系统上运行。
安装
配置
初始设置
在首次运行 rkhunter 之前,请更新文件属性数据库
# rkhunter --propupd
重要文件
主配置文件位于 /etc/rkhunter.conf。
默认情况下,上次系统检查的日志将放置在 /var/log/rkhunter.log。
使用
有关完整详细信息,请参阅 rkhunter(8)。
基本命令
更新文件属性数据库
# rkhunter --propupd
有必要通过运行以下命令来确保 rkhunter 数据文件保持最新
# rkhunter --update
运行系统检查
# rkhunter --check --sk
验证配置文件
# rkhunter --config-check
故障排除
误报
开箱即用,Rootkit Hunter 将在文件属性检查期间抛出一些误报警告。发生这种情况是因为一些核心实用程序已被脚本替换。这些警告可以通过白名单来消除
/etc/rkhunter.conf
SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/fgrep SCRIPTWHITELIST=/usr/bin/ldd SCRIPTWHITELIST=/usr/bin/vendor_perl/GET