怎样使用 Rkhunter 扫描 Linux 系统中的后门、Rootkit 和本地漏洞

Rkhunter 是一个开源的安全分析和监控工具,用于扫描 Linux 系统中的 rootkit、本地漏洞和后门。 它确实检查内核模块中的字符串、错误的权限、隐藏文件等,以增强 Linux 安全性。 它是用 Bourne Shell (sh) 编写的,几乎与所有 UNIX 派生系统兼容。

在本文中,我们将在 Ubuntu 20.04 系统中安装 Rkhunter 并扫描系统以查找后门、rootkit 和本地漏洞。

安装 Rkhunter

从 Ubuntu 20.04 开始,可以从其默认存储库安装 Rkhunter。 执行以下 apt 命令安装 Rkhunter 包。

$ sudo apt install rkhunter -y

执行该命令后,您将看到以下对话框,要求设置邮件服务器。 然后,单击确定按钮。 在此对话框中,您可以看到邮件服务器类型信息。

邮件服务器配置向导。

同样,您将被要求选择邮件服务器,因为在初始对话框中定义了类型。 对于我的设置,我将选择“仅限本地”。 选择邮件服务器后,单击确定。

邮件服务器配置向导。

几分钟后,您将再次看到询问系统邮件名称的对话框。 如果您有邮件地址,您可以根据描述设置邮件地址,否则将其设置为 localhost 或您的服务器主机名。 然后点击确定。

怎样使用 Rkhunter 扫描 Linux 系统中的后门、Rootkit 和本地漏洞 1

后缀配置。

现在,使用以下命令验证安装。

$ rkhunter --version

配置 Rkhunter

安装完成后,我们需要配置 Rkhunter 以便能够最完整地扫描系统。 然后,打开以下配置文件。

$ sudo vim /etc/rkhunter.conf

现在,查找以下变量并将其更新为给定值。

UPDATE_MIRRORS=1

默认情况下,它的值设置为 0 定义不更新到镜像文件。 如果我们在更新检查期间设置值 1,也会检查 rkhunter 镜像文件是否有更新。

MIRRORS_MODE=0

MIRRORS_MODE 告诉 Rkhunter 在使用 –update 或 –version 选项时要使用哪些镜像。 它需要 3 个选项之一,

0 – 使用任何镜像

1 – 仅使用本地镜像

2 – 仅使用远程镜像

WEB_CMD=””

WEB_CMD 决定了 Rkhunter 用来从 Internet 下载文件的命令。

设置好上述配置后,写入并退出配置文件。

在 Rkhunter 安装过程中,它的脚本文件被附加在 cron.d Daily 目录中,用于日常扫描和更新,因为脚本由 cron 定期执行。 因此,更新以下配置文件的配置以定期自动扫描和更新。

$ sudo vim /etc/default/rkhunter.conf

CRON_DAILY_RUN=”真”

CRON_DB_UPDATE=”真”

APT_AUTOGEN=”真”

配置完成后,您可以使用以下命令检查配置是否正确设置。

$ sudo rkhunter -C

更新 Rkhunter

Rkhunter 使用文本数据文件来检测可疑活动。 所以,我们需要经常更新。 要检查更新执行,

$ sudo rkhunter --update

怎样使用 Rkhunter 扫描 Linux 系统中的后门、Rootkit 和本地漏洞 2

检查 rkhunter 数据文件更新。

现在,使用以下命令更新整个文件属性数据库。

$ sudo rkhunter --propupd

怎样使用 Rkhunter 扫描 Linux 系统中的后门、Rootkit 和本地漏洞 3

更新数据文件。

Rkhunter 扫描系统

一切设置好后,您可以使用 rkhunter 执行系统检查。

$ sudo rkhunter --check --sk

怎样使用 Rkhunter 扫描 Linux 系统中的后门、Rootkit 和本地漏洞 4

扫描系统。

$ sudo rkhunter --check --rwo

怎样使用 Rkhunter 扫描 Linux 系统中的后门、Rootkit 和本地漏洞 5

仅查看警告。

上面命令中的-check选项告诉命令扫描系统,-sk选项会跳过选项按回车键继续扫描,-rwo只显示警告信息

扫描完成后可以查看以下路径中的日志查看警告。

$ sudo cat /var/log/rkhunter.log

结论

至此,你已经学会了安装rkhunter的方法,配置好所需的配置,并扫描系统和查看日志来识别真正的后门、rootkit和本地漏洞。

相关阅读:

Posted in: LinuxTags: