Ceci est une ancienne révision du document !



Rkhunter

rkhunter (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur lorsque qu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc.

De part exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lequel il tourne, rkhunter renvoi généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements son bénins et peuvent être ignorés.

Un système véritablement compris peut, par définition, faire ou afficher n'importe quoi… Dès lors, rkhunter pourrait parfaitement vous afficher que tout va bien alors que ce n'est pas du tout le cas ! En cas de doutes réels et sérieux sur la compromission d'une machine, seul l'avis d'un véritable expert en sécurité, ou la ré-installation complète de votre machine devrait être en mesure de vous rassurer. Sur un ordinateur de type "desktop", avec la configuration par défaut d'ubuntu, et si l'utilisateur n'a pas de lui même ouvert un trou de sécurité béant (autoriser la prise de contrôle à distance sans mot de passe ou avec un mot de passe faible par exemple), le risque de "hack" de la machine en question est INFIME.

La configuration de rkhunter se trouve dans les fichiers /etc/rkhunter.conf et /etc/default/rkhunter.

En particulier, il peut être intéressant, dans /etc/default/rkhunter, d'indiquer les options :

REPORT_EMAIL="admin@mail.com" 
CRON_DAILY_RUN="yes" 

Par ailleurs, pour éviter les faux positifs, il est possible d'indiquer ceux-ci dans /etc/rkhunter.conf. Ex :

ALLOWHIDDENDIR=/dev/.udev 
ALLOWHIDDENDIR=/dev/.static 

Vérifier que vous avez la dernière version :

sudo rkhunter --versioncheck

Mettre à jour le programme :

sudo rkhunter --update

Lister les différents tests effectués :

sudo rkhunter --list

Effectuer une vérification :

sudo rkhunter --checkall
Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.
Notamment :
/usr/sbin/unhide
/usr/sbin/unhide-linux26
qui peuvent déclencher un [ Warning ]

Dans ce cas lancez :

sudo rkhunter --propupd

Pour supprimer cette application, il suffit de supprimer son paquet. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez.

  • rkhunter.1325772165.txt.gz
  • Dernière modification: Le 05/01/2012, 15:02
  • par hoper