Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
rkhunter [Le 09/09/2021, 01:24]
86.76.25.88 [Rkhunter]
rkhunter [Le 28/12/2023, 11:39] (Version actuelle)
41.250.249.128 [Configuration]
Ligne 7: Ligne 7:
  
  
-**rkhunter** (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'​utilisateur lorsqu'​il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc. +**rkhunter** (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'​utilisateur lorsqu'​il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc.
  
-De par l'​exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'​analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements sont bénins et peuvent être ignorés. ​+De par l'​exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'​analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements sont bénins et peuvent être ignorés.
  
 <note important>​Un système véritablement compromis peut, par définition,​ faire ou afficher n'​importe quoi... Dès lors, rkhunter pourrait parfaitement vous afficher que tout va bien alors que ce n'est pas du tout le cas ! En cas de doutes réels et sérieux sur la compromission d'une machine, seul l'avis d'un véritable expert en sécurité, ou la ré-installation complète de votre machine devrait être en mesure de vous rassurer. Sur un ordinateur de type "​desktop",​ avec la configuration par défaut d'​Ubuntu,​ et si l'​utilisateur n'a pas de lui-même ouvert un trou de sécurité béant (autoriser la prise de contrôle à distance sans mot de passe ou avec un mot de passe faible par exemple), le risque de "​hack"​ de la machine en question est INFIME. </​note>​ <note important>​Un système véritablement compromis peut, par définition,​ faire ou afficher n'​importe quoi... Dès lors, rkhunter pourrait parfaitement vous afficher que tout va bien alors que ce n'est pas du tout le cas ! En cas de doutes réels et sérieux sur la compromission d'une machine, seul l'avis d'un véritable expert en sécurité, ou la ré-installation complète de votre machine devrait être en mesure de vous rassurer. Sur un ordinateur de type "​desktop",​ avec la configuration par défaut d'​Ubuntu,​ et si l'​utilisateur n'a pas de lui-même ouvert un trou de sécurité béant (autoriser la prise de contrôle à distance sans mot de passe ou avec un mot de passe faible par exemple), le risque de "​hack"​ de la machine en question est INFIME. </​note>​
Ligne 24: Ligne 24:
 <code bash /​etc/​default/​rkhunter>​ <code bash /​etc/​default/​rkhunter>​
 REPORT_EMAIL="​admin@mail.com" ​ REPORT_EMAIL="​admin@mail.com" ​
-CRON_DAILY_RUN="​yes" ​+CRON_DAILY_RUN="​yes,,,," ​
 </​code>​ </​code>​
  
Ligne 39: Ligne 39:
 </​code>​ </​code>​
  
 +Pour éviter des faux positifs après une mise à jour du système veuillez mettre la config suivante dans /​etc/​default/​rkhunter
 +
 +<code bash /​etc/​default/​rkhunter>​
 +APT_AUTOGEN="​yes"​
 +</​code>​
 ===== Utilisation===== ===== Utilisation=====
  
Ligne 67: Ligne 72:
 Dans ce cas lancez :\\ Dans ce cas lancez :\\
   sudo rkhunter --propupd   sudo rkhunter --propupd
-</​note> ​+</​note>​
  
 Vérification avec juste les alertes importantes : Vérification avec juste les alertes importantes :
Ligne 82: Ligne 87:
  
 Une bonne solution vérifiée se trouve ici : Une bonne solution vérifiée se trouve ici :
-http://​ubuntuforums.org/​showthread.php?​t=2086933+https://​ubuntuforums.org/​showthread.php?​t=2086933
  
 ===== Voir aussi ===== ===== Voir aussi =====
  • rkhunter.1631143454.txt.gz
  • Dernière modification: Le 09/09/2021, 01:24
  • par 86.76.25.88