RkHunter
Posté : 09 déc. 2021, 17:23
RkHunter (RootKit Hunter) est un programme qui permet de détecter les rootkits, certains exploits et portes dérobées. Il n'est pas indispensable de l'avoir mais c'est tout de même bien de l'avoir.
Installation
Connectez vous en root sur votre serveur dédié puis taper la commande d'installation suivante.
Souhaitez-vous continuer ? [O/n] : O puis validez.apt install rkhunter
l'installation est terminée, voyons la configuration
Configuration
Vous allez éditer le fichier suivant
nano /etc/default/rkhunter
- CRON_DAILY_RUN="" = Si vous mettez yes entre les guillemets, RkHunter s’exécutera quotidiennement.
- REPORT_EMAIL="root" = Si vous mettez yes à l'option du dessus un email sera envoyé quotidiennement à l'adresse que vous indiquerez à la place de root. Bien évidemment un service email doit être installé et fonctionnel sur votre serveur dédié.
ensuite on va éditer le fichier suivant
recherchez les lignes suivantes et modifiez lesnano /etc/rkhunter.conf
mettre sur 1UPDATE_MIRRORS=0
mettre sur 0MIRRORS_MODE=1
trouvez la ligne suivante et la dé-commenter (retirer # en début de ligne)
trouver la ligne suivante#ALLOWHIDDENDIR=/etc/.java
et ajouter en dessous#ALLOWDEVFILE=/dev/shm/sem.ADBE_*
trouvez la ligne suivante et commentez la (ajoutez # en début de ligne)ALLOWDEVFILE=/usr/bin/egrep
ALLOWDEVFILE=/usr/bin/fgrep
ALLOWDEVFILE=/usr/bin/wich
et pour terminer tout à la fin du fichier aprèsWEB_CMD="/bin/false"
ajouter ces lignesINSTALLDIR=/usr
On referme le fichier en faisant le manipulation de touche suivante ctrl + x ensuite la touche "o" et pour finir la touche Entrée.SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
ALLOWHIDDENDIR=/dev/.udev
ALLOWHIDDENDIR=/dev/.static
Utilisation
Pour son utilisation voici les différentes commandes
On commence par faire une mise à jour
ensuite on lance la vérification du système. Pour cela je vous propose 2 choix de commanderkhunter --update; rkhunter --propupdate
- rkhunter -c = avec cette commande RkHunter va vérifier tout le système et vous verrez son avancé en direct. Par moment vous devrez appuyer sur votre touche Entrée.
- rkhunter -c --rwo = avec cette commande le système sera vérifié également sauf qu'il n'affichera que les warnings.
mais ne vous inquiétez pas ce n'est pas grave. C'est juste que si vous n'avez pas définit la ligne PermitRootLogin sur yes dans le fichierWarning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
il vous affichera ce message. Attention car ne n'est pas pour autant qu'il faut l'activer./etc/ssh/sshd_config
Ce tutoriel est la propriété de papyinfo.fr