Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
rkhunter [Le 24/09/2010, 06:09]
Gemnoc Mise en forme.
rkhunter [Le 28/12/2023, 11:39] (Version actuelle)
41.250.249.128 [Configuration]
Ligne 1: Ligne 1:
-{{tag>​serveur sécurité ​virus rootkit ​exploits}}+{{tag>​serveur sécurité rootkit}}
  
 ---- ----
Ligne 7: Ligne 7:
  
  
-**rkhunter** (pour Rootkit Hunter) est un programme qui permet ​de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. ​Ainsi, ​il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, ​les fichiers cachés, ​les chaînes suspectes dans le kernel ​et peut effectuer des tests spécifiques à Linux et FreeBSD.+**rkhunter** (pour Rootkit Hunter) est un programme qui essaye ​de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. ​Il alerte également l'​utilisateur lorsqu'​il trouve des permissions ​qu'il juge anormales, ​des fichiers cachés, ​des chaînes suspectes dans le kernel ​etc.
  
-<note help>​Rappelons cependant ​qu'en 2004, des chercheurs chinoisXiaoyun WangDengguo FengXuejia Lai et Hongbo Yuont démontré qu'on pouvait créer des fichiers distincts ​de même signature MD5 en raison ​d'​une ​propriété ​d'invariance mathématique ​de ce procédé.</​note>​+De par l'​exhaustivité des tests qu'il effectueet à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'​analyse de ces avertissements (warnings) nécessite une bonne connaissance ​des systèmes Unix. Dans une écrasante majorité des casces avertissements sont bénins et peuvent être ignorés. 
 + 
 +<note important>​Un système véritablement compromis peutpar définitionfaire ou afficher n'​importe quoi... Dès lorsrkhunter pourrait parfaitement vous afficher que tout va bien alors que ce n'est pas du tout le cas ! En cas de doutes réels et sérieux sur la compromission ​d'​une ​machine, seul l'​avis ​d'un véritable expert en sécurité, ou la ré-installation complète ​de votre machine devrait être en mesure de vous rassurer. Sur un ordinateur de type "​desktop",​ avec la configuration par défaut d'​Ubuntu,​ et si l'​utilisateur n'a pas de lui-même ouvert un trou de sécurité béant (autoriser la prise de contrôle à distance sans mot de passe ou avec un mot de passe faible par exemple), le risque de "​hack"​ de la machine en question est INFIME. </​note>​
  
 ===== Installation ===== ===== Installation =====
  
-[[:​tutoriel:​comment_installer_un_paquet|Installez le paquet]] **[[apt://​rkhunter|rkhunter]]**.+[[:​tutoriel:​comment_installer_un_paquet|Installez le paquet]] **[[apt>rkhunter]]**.
  
 ===== Configuration ===== ===== Configuration =====
  
-La configuration de rkhunter se trouve dans le fichier ​**/​etc/​rkhunter.conf**.+La configuration de rkhunter se trouve dans les fichiers ​**/​etc/​rkhunter.conf** et **/​etc/​default/​rkhunter**.
  
 +En particulier,​ il peut être intéressant,​ dans /​etc/​default/​rkhunter,​ d'​indiquer les options :
 +<code bash /​etc/​default/​rkhunter>​
 +REPORT_EMAIL="​admin@mail.com" ​
 +CRON_DAILY_RUN="​yes,,,," ​
 +</​code>​
 +
 +Par ailleurs, pour éviter les faux positifs, il est possible d'​indiquer ceux-ci dans /​etc/​rkhunter.conf. Ex :
 +<code bash /​etc/​rkhunter.conf>​
 +ALLOWHIDDENDIR="/​dev/​.udev"​
 +ALLOWHIDDENDIR="/​dev/​.static"​
 +ALLOWDEVFILE="/​dev/​.udev/​rules.d/​root.rules"​
 +</​code>​
 +
 +Pour éviter d'​autres faux positifs, on peut mettre la config suivante dans /​etc/​rkhunter.conf,​ pour qu'il se base sur dpkg pour vérifier la légitimité de certains fichiers (source: http://​sourceforge.net/​p/​rkhunter/​mailman/​message/​31460254/​)
 +<code bash /​etc/​rkhunter.conf>​
 +PKGMGR=DPKG
 +</​code>​
 +
 +Pour éviter des faux positifs après une mise à jour du système veuillez mettre la config suivante dans /​etc/​default/​rkhunter
 +
 +<code bash /​etc/​default/​rkhunter>​
 +APT_AUTOGEN="​yes"​
 +</​code>​
 ===== Utilisation===== ===== Utilisation=====
  
Ligne 32: Ligne 57:
  
  
-Lister les différents tests effectué ​ +Lister les différents tests effectués ​:
   sudo rkhunter --list   sudo rkhunter --list
  
Ligne 39: Ligne 63:
  
   sudo rkhunter --checkall   sudo rkhunter --checkall
 +
 +<note important>​Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.\\
 +Notamment :\\
 +**///​usr/​sbin/​unhide//​**\\
 +**///​usr/​sbin/​unhide-linux26//​**\\
 +qui peuvent déclencher un **[ Warning ]**\\
 +
 +Dans ce cas lancez :\\
 +  sudo rkhunter --propupd
 +</​note>​
 +
 +Vérification avec juste les alertes importantes :
 +  sudo rkhunter -c --rwo 
  
 ===== Désinstallation ===== ===== Désinstallation =====
  
 Pour supprimer cette application,​ il suffit de [[:​tutoriel:​comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'​application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez. Pour supprimer cette application,​ il suffit de [[:​tutoriel:​comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'​application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez.
 +
 +===== Problèmes connus =====
 +
 +Pour ceux qui bien que comprenant un minimum le fonctionnement de rkhunter seraient victimes de rapports incessants concernant initramfs sous 12.04. (ou 11.10 ça doit le faire aussi)
 +Autrement dit ce(s) bug(s) : https://​bugs.launchpad.net/​ubuntu/​+source/​rkhunter/​+bug/​1004816 qui semble avoir pris sa source encore avant : https://​bugs.launchpad.net/​ubuntu/​+source/​rkhunter/​+bug/​883324 )
 +
 +Une bonne solution vérifiée se trouve ici :
 +https://​ubuntuforums.org/​showthread.php?​t=2086933
  
 ===== Voir aussi ===== ===== Voir aussi =====
  
-  * **(en)** [[http://www.rootkit.nl/​|Site officiel de rkhunter]]+  * **(en)** [[http://​rootkit.nl/​|Site officiel de rkhunter]]
   * **(en)** [[http://​rkhunter.sourceforge.net/​|Site officiel du projet rkhunter]]   * **(en)** [[http://​rkhunter.sourceforge.net/​|Site officiel du projet rkhunter]]
 +  * **(fr)** [[rootkit/​|Présentation des autres Rootkits]] 
 +  * **(fr)** [[:​tutoriel:​nagios_configurer_rkhunter|Configurer nagios pour rkhunter]] 
 +  * **(fr)** [[http://​www.it-connect.fr/​securisez-vos-systemes-linux-avec-rkhunter/​ |Utilisation de RKHunter]]
 ---- ----
 //​Contributeur principal :​ anonyme.// //​Contributeur principal :​ anonyme.//
  • rkhunter.1285301373.txt.gz
  • Dernière modification: Le 18/04/2011, 14:57
  • (modification externe)