Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
rkhunter [Le 24/09/2010, 06:09] Gemnoc Mise en forme. |
rkhunter [Le 28/12/2023, 11:39] (Version actuelle) 41.250.249.128 [Configuration] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>serveur sécurité virus rootkit exploits}} | + | {{tag>serveur sécurité rootkit}} |
---- | ---- | ||
Ligne 7: | Ligne 7: | ||
- | **rkhunter** (pour Rootkit Hunter) est un programme qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD. | + | **rkhunter** (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur lorsqu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc. |
- | <note help>Rappelons cependant qu'en 2004, des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu, ont démontré qu'on pouvait créer des fichiers distincts de même signature MD5 en raison d'une propriété d'invariance mathématique de ce procédé.</note> | + | De par l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements sont bénins et peuvent être ignorés. |
+ | |||
+ | <note important>Un système véritablement compromis peut, par définition, faire ou afficher n'importe quoi... Dès lors, rkhunter pourrait parfaitement vous afficher que tout va bien alors que ce n'est pas du tout le cas ! En cas de doutes réels et sérieux sur la compromission d'une machine, seul l'avis d'un véritable expert en sécurité, ou la ré-installation complète de votre machine devrait être en mesure de vous rassurer. Sur un ordinateur de type "desktop", avec la configuration par défaut d'Ubuntu, et si l'utilisateur n'a pas de lui-même ouvert un trou de sécurité béant (autoriser la prise de contrôle à distance sans mot de passe ou avec un mot de passe faible par exemple), le risque de "hack" de la machine en question est INFIME. </note> | ||
===== Installation ===== | ===== Installation ===== | ||
- | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt://rkhunter|rkhunter]]**. | + | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt>rkhunter]]**. |
===== Configuration ===== | ===== Configuration ===== | ||
- | La configuration de rkhunter se trouve dans le fichier **/etc/rkhunter.conf**. | + | La configuration de rkhunter se trouve dans les fichiers **/etc/rkhunter.conf** et **/etc/default/rkhunter**. |
+ | En particulier, il peut être intéressant, dans /etc/default/rkhunter, d'indiquer les options : | ||
+ | <code bash /etc/default/rkhunter> | ||
+ | REPORT_EMAIL="admin@mail.com" | ||
+ | CRON_DAILY_RUN="yes,,,," | ||
+ | </code> | ||
+ | |||
+ | Par ailleurs, pour éviter les faux positifs, il est possible d'indiquer ceux-ci dans /etc/rkhunter.conf. Ex : | ||
+ | <code bash /etc/rkhunter.conf> | ||
+ | ALLOWHIDDENDIR="/dev/.udev" | ||
+ | ALLOWHIDDENDIR="/dev/.static" | ||
+ | ALLOWDEVFILE="/dev/.udev/rules.d/root.rules" | ||
+ | </code> | ||
+ | |||
+ | Pour éviter d'autres faux positifs, on peut mettre la config suivante dans /etc/rkhunter.conf, pour qu'il se base sur dpkg pour vérifier la légitimité de certains fichiers (source: http://sourceforge.net/p/rkhunter/mailman/message/31460254/) | ||
+ | <code bash /etc/rkhunter.conf> | ||
+ | PKGMGR=DPKG | ||
+ | </code> | ||
+ | |||
+ | Pour éviter des faux positifs après une mise à jour du système veuillez mettre la config suivante dans /etc/default/rkhunter | ||
+ | |||
+ | <code bash /etc/default/rkhunter> | ||
+ | APT_AUTOGEN="yes" | ||
+ | </code> | ||
===== Utilisation===== | ===== Utilisation===== | ||
Ligne 32: | Ligne 57: | ||
- | Lister les différents tests effectué : | + | Lister les différents tests effectués : |
sudo rkhunter --list | sudo rkhunter --list | ||
Ligne 39: | Ligne 63: | ||
sudo rkhunter --checkall | sudo rkhunter --checkall | ||
+ | |||
+ | <note important>Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.\\ | ||
+ | Notamment :\\ | ||
+ | **///usr/sbin/unhide//**\\ | ||
+ | **///usr/sbin/unhide-linux26//**\\ | ||
+ | qui peuvent déclencher un **[ Warning ]**\\ | ||
+ | |||
+ | Dans ce cas lancez :\\ | ||
+ | sudo rkhunter --propupd | ||
+ | </note> | ||
+ | |||
+ | Vérification avec juste les alertes importantes : | ||
+ | sudo rkhunter -c --rwo | ||
===== Désinstallation ===== | ===== Désinstallation ===== | ||
Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez. | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez. | ||
+ | |||
+ | ===== Problèmes connus ===== | ||
+ | |||
+ | Pour ceux qui bien que comprenant un minimum le fonctionnement de rkhunter seraient victimes de rapports incessants concernant initramfs sous 12.04. (ou 11.10 ça doit le faire aussi) | ||
+ | Autrement dit ce(s) bug(s) : https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/1004816 qui semble avoir pris sa source encore avant : https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/883324 ) | ||
+ | |||
+ | Une bonne solution vérifiée se trouve ici : | ||
+ | https://ubuntuforums.org/showthread.php?t=2086933 | ||
===== Voir aussi ===== | ===== Voir aussi ===== | ||
- | * **(en)** [[http://www.rootkit.nl/|Site officiel de rkhunter]] | + | * **(en)** [[http://rootkit.nl/|Site officiel de rkhunter]] |
* **(en)** [[http://rkhunter.sourceforge.net/|Site officiel du projet rkhunter]] | * **(en)** [[http://rkhunter.sourceforge.net/|Site officiel du projet rkhunter]] | ||
+ | * **(fr)** [[rootkit/|Présentation des autres Rootkits]] | ||
+ | * **(fr)** [[:tutoriel:nagios_configurer_rkhunter|Configurer nagios pour rkhunter]] | ||
+ | * **(fr)** [[http://www.it-connect.fr/securisez-vos-systemes-linux-avec-rkhunter/ |Utilisation de RKHunter]] | ||
---- | ---- | ||
//Contributeur principal : anonyme.// | //Contributeur principal : anonyme.// |