Rkhunter 代表“Rootkit Hunter”,是一個免費的開源漏洞掃描器,適用於 Linux 操作系統。 它會掃描 rootkit 和其他可能的漏洞,包括隱藏文件、對二進製文件設置錯誤的權限、內核中的可疑字符串等。它將本地系統中所有文件的 SHA-1 哈希值與在線數據庫中已知的良好哈希值進行比較。 它還檢查本地系統命令、啟動文件和網絡接口以監聽服務和應用程序。
在本教程中,我們將解釋如何在 Debian 10 服務器上安裝和使用 Rkhunter。
先決條件
- 運行 Debian 10 的服務器。
- 在服務器上配置了 root 密碼。
安裝和配置 Rkhunter
默認情況下,Rkhunter 軟件包在 Debian 10 默認存儲庫中可用。 您只需運行以下命令即可安裝它:
apt-get install rkhunter -y
安裝完成後,您需要在掃描系統之前配置 Rkhunter。 您可以通過編輯文件 /etc/rkhunter.conf 來配置它。
納米 /etc/rkhunter.conf
更改以下幾行:
#啟用鏡像檢查。 UPDATE_MIRRORS=1 #告訴rkhunter使用任何鏡像。 MIRRORS_MODE=0 #指定rkhunter在網上下載文件時使用的命令WEB_CMD=””
Save 和 close 完成後的文件。 接下來,使用以下命令驗證 Rkhunter 是否存在任何配置語法錯誤:
獵人-C
更新 Rkhunter 並設置安全基線
接下來,您需要從 Internet 鏡像更新數據文件。 您可以使用以下命令更新它:
rkhunter –更新
你應該得到以下輸出:
[ Rootkit Hunter version 1.4.6 ]
正在檢查 rkhunter 數據文件…正在檢查文件 mirrors.dat [ Updated ]
檢查文件programs_bad.dat [ No update ]
檢查文件 backdoorports.dat [ No update ]
檢查文件 suspscan.dat [ No update ]
檢查文件 i18n/cn [ Skipped ]
檢查文件 i18n/de [ Skipped ]
檢查文件 i18n/en [ No update ]
檢查文件 i18n/tr [ Skipped ]
檢查文件 i18n/tr.utf8 [ Skipped ]
檢查文件 i18n/zh [ Skipped ]
檢查文件 i18n/zh.utf8 [ Skipped ]
檢查文件 i18n/ja [ Skipped ]
接下來,使用以下命令驗證 Rkhunter 版本信息:
rkhunter –versioncheck
你應該得到以下輸出:
[ Rootkit Hunter version 1.4.6 ]
檢查 rkhunter 版本…此版本:1.4.6 最新版本:1.4.6
接下來,使用以下命令設置安全基線:
rkhunter –propupd
你應該得到以下輸出:
[ Rootkit Hunter version 1.4.6 ]
文件更新:搜索了 180 個文件,找到了 140 個
執行測試運行
至此,Rkhunter 就安裝完畢並配置好了。 現在,是時候對您的系統執行安全掃描了。 您可以通過運行以下命令來實現:
rkhunter –檢查
你需要按 Enter 每次安全檢查如下所示:
系統檢查摘要 ====================== 文件屬性檢查…檢查的文件:140 可疑文件:3 Rootkit 檢查… Rootkit 檢查:497 可能的 Rootkit: 0 應用程序檢查… 跳過所有檢查 系統檢查耗時:2 分 10 秒 所有結果都已寫入日誌文件:/var/log/rkhunter.log 檢查系統時發現一個或多個警告。 請檢查日誌文件 (/var/log/rkhunter.log)
您可以使用選項 –sk 來避免按下 Enter 和選項 –rwo 僅顯示警告,如下所示:
rkhunter –check –rwo –sk
你應該得到以下輸出:
警告:命令“/usr/bin/egrep”已被腳本替換:/usr/bin/egrep:POSIX shell 腳本,ASCII 文本可執行警告:命令“/usr/bin/fgrep”已被替換為腳本:/usr/bin/fgrep:POSIX shell 腳本,ASCII 文本可執行警告:命令“/usr/bin/which”已被腳本替換:/usr/bin/which:POSIX shell 腳本,ASCII 文本可執行警告: SSH 和 rkhunter 配置選項應該相同: SSH 配置選項 ‘PermitRootLogin’:是 Rkhunter 配置選項 ‘ALLOW_SSH_ROOT_USER’:否
您還可以使用以下命令檢查 Rkhunter 日誌:
tail -f /var/log/rkhunter.log
使用 Cron 安排定期掃描
建議配置 Rkhunter 定期掃描您的系統。 您可以通過編輯文件 /etc/default/rkhunter 來配置它:
納米 /etc/default/rkhunter
更改以下幾行:
#Perform security check daily CRON_DAILY_RUN=”true” #啟用每週數據庫更新。 CRON_DB_UPDATE=”true” #啟用自動數據庫更新 APT_AUTOGEN=”true”
Save 和 close 完成後的文件。
結論
恭喜! 您已經在 Debian 10 服務器上成功安裝和配置了 Rkhunter。 您現在可以定期使用 Rkhunter 來保護您的服務器免受惡意軟件的侵害。
