Rootkit Hunter (rkhunter), rootkit'leri, arka kapıları ve olası yerel istismarları tarayan Unix tabanlı bir araçtır. Kök setleri, kullanıcının sunucuya erişim kazanmasına izin vermek için gizlenmiş bir saldırgan tarafından gizlice yüklenen kendiliğinden gizlenen araç takımlarıdır.
Rootkit Hunter, önemli dosyalardaki SHA-1 karmalarını, çevrimiçi veritabanında iyi bilinenlerle karşılaştırarak koruma sağlar:
Md5 hash karşılaştırmak
Kök setleri tarafından kullanılan varsayılan dosyaları arayın.
İkili dosyalar için yanlış dosya izinleri
LKM ve KLD modüllerinde şüpheli dizeleri arayın
Gizli dosyalara bak
Düz metin ve ikili dosyalar içinde isteğe bağlı tarama
Bu kılavuz, RKHunter’ın CentOS 5, Centos 6 veya Centos 7’ye nasıl kurulup yapılandırılacağını açıklamaktadır.
Not: Bu kılavuz, SSH ve temel komut satırı navigasyonuna aşina olduğunuzu varsayar. Bu talimatlar öncelikle Sanal Özel Sunucular veya Dedicated Sunucularına sahip müşteriler için geçerlidir. Kök seviye erişiminiz yoksa, bu değişiklikleri yapamazsınız.
KURULUM
1.1 KURU EPEL REPOSİTORY
RKHunter'ın kurulumu için gereken tüm dosyalar EPEL deposunda bulunur. EPEL deposu, yaygın olarak kullanılan yazılımlar için kolay kurulum paketleri sunar.
yum install epel-release
Bu komut çalışmazsa, belki de CentOS Ekstra deposu devre dışı bırakılmış olduğundan, aşağıdaki bölüm dağıtım sürümünüze dayalı olarak elle yükleme yönergeleri sağlar:
CentOS ve Red Hat Enterprise Linux 5.x
wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-5.noarch.rpm sudo rpm -Uvh epel-release-5*.rpm
CentOS ve Red Hat Enterprise Linux 6.x
wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm sudo rpm -Uvh epel-release-6*.rpm
CentOS ve Red Hat Enterprise Linux 7.x
wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm sudo rpm -Uvh epel-release-7*.rpm
Paketi indirmeye çalışırken Dosya Bulunamadı hata iletisini alırsanız, sürüm numarası değişmiş olabilir. RPM yükleyicinin en son sürümüne Fedora EPEL wiki sayfasından erişebilirsiniz. Viki sayfası ayrıca EPEL deposunu kuran Red Hat Network aboneleri için ek talimatlar içerir.
1.2 KURULUM ROOTKIT HUNTER
EPEL Deposu kurulduktan sonra, kurulum rutinini başlatmak için aşağıdaki komutu root olarak verin.
yum -y install rkhunter
1.3 GÜNCELLEME VERİTABANI
rkhunter --update
1.4 GÜNCELLEME SİSTEMİ DOSYA ÖZELLİKLERİ
Bu taramaları karşılaştırmak için bir temel veritabanı dosyası oluşturmak için gerekli bir adımdır. Temiz bir yüklemede, propupd'ın ilk çalıştırması, yeni bir veritabanı dosyası oluşturur. Daha sonraki taramalarda, propupd komutunu çalıştırarak veritabanı dosyasını günceller. Bu nedenle, veritabanı dosyasını güncellemek için yalnızca güvenilir kaynak sistemi dosya değişikliklerine sahip olduğunuzdan eminsiniz. RKHunter, CONF'te, sistem dosyası değişikliklerini nasıl doğruladığınızı gösteren seçenekler sunar.
rkhunter --propupd
2. OTOMATİK ROOTKIT HUNTER
Rkhunter her gün kontrolleri çalıştırmak için ayarlanabilir, böylece her zaman izinsiz girişler hakkında güncel bilgilere sahibiz. Bu bir cronjob oluşturarak yapılabilir.
Not: RKHunter'ın daha yeni sürümlerinde /etc/cron.daily dizini altında önceden yüklenmiş bir cronjob var. Bu durumda adım 2.1, 2.2 ve 2.3 göz ardı edilebilir.
2.1 CRON DOSYASINI YARATIN
Çalışma dosyasını aşağıdaki konumda oluşturun (yalnızca RHEL tabanlı dağıtımlar):
nano -w /etc/cron.daily/rkhunter.sh
2.2 INSERT SHELL SCRIPT
Aşağıdaki komut dosyası, belirtilen bir e-posta kimliğine e-posta bildirimleri göndermek için yapılandırılabilir. --Versioncheck, tehdit tanımlarımızın güncel olduğunu kontrol eder. Gerekirse --update seçeneği, tehdit tanımlarımızı günceller. --Cronjob seçeneği, rkhunter'a etkileşimli tuş basımı gerektirmediğini bildirir. Bu kısa kabuk komut dosyasını yeni oluşturduğumuz rkhunter.sh dosyasına eklemeniz gerekiyor.
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Günlük Tarama Raporu (Sunucu Adınızı Burada Koyun)' isim@alanadi.com
Önemli: Değiştirmeyi unutmayın: (Sunucu Adınızı Burada Koyun)' isim@alanadi.com geçerli bir sunucu adı / e-posta adresine
2.3 SET İZİNLERİ
Yeni oluşturduğunuz dosyadaki yürütme iznini ayarlayın:
chmod 755 /etc/cron.daily/rkhunter.sh
Cron yardımcı programı günde bir kez çalışır ve bir tehdit algılanırsa, rkhunter komutunun kendisini uyarması için kullanıcıya e-posta gönderir. Herhangi bir sorun bulunamazsa, e-posta alınmayacaktır.
3. ROOTKIT HUNTER KONFİGÜRASYONU
Rkhunter için yapılandırma dosyası şu adreste bulunabilir:
/etc/rkhunter.conf
3.1 KURULUM POSTA BİLDİRİMLERİ
E-posta bildirimleri, MAIL-ON-WARNING değeri aşağıdaki gibi düzenlenebilir. Rkhunter bir uyarı aldığında bir mesaj alacaksınız. Posta bildirimlerinin çalışması için yerel postanın doğru şekilde ayarlanması gerektiğini lütfen unutmayın.
MAIL-ON-WARNING="username@domainname.com"
İlgili bir yapılandırma seçeneği, programı ve postayı göndermek için seçenekleri belirtir:
MAIL_CMD = mail -s "[rkhunter] ${HOST_NAME} için uyarılar bulundu"
3.2 SSH ROOT GİRİŞİ
ALLOW_SSH_ROOT_USER parametresi, kök kullanıcının sisteme ssh yapmasına izin verilip verilmediğini rkhunter'a bildirir. Bu, rkhunter.conf dosyasında varsayılan olarak tanımlanmamıştır. Rkhunter her koşuda bundan şikayet eder. Root girişini devre dışı bıraktıysanız, bu parametreyi "no" olarak ayarlamanız gerekir.
ALLOW_SSH_ROOT_USER=no
SSH üzerinden root girişine ihtiyacınız varsa, bu parametreyi "yes" olarak değiştirmelisiniz, böylece rkhunter bunu kontrol edebilir ve bu ayarı geçerli olarak işaretler:
ALLOW_SSH_ROOT_USER=yes
Güvenlik uygulamaları root girişini devre dışı bırakmanızı önerir.
3.3 BEYAZ LİSTE BİLİNEN DOSYA DOSYALARI
SCRIPTWHITELIST parametresi, güvenli dosyaların olduğu bilinen, bunların beklenen olduğunu rkhunter'e bildirmek üzere ayarlanabilir. Bu, bu dosyaların müteakip tüm kontrollerde yanlış pozitifleri tetiklemesini önleyecektir.
SCRIPTWHITELIST="/usr/bin/ldd"
SCRIPTWHITELIST="/bin/which"
4. GÜNCELLEME GÜNCELLEME
Mevcut sürümü kontrol etmek için aşağıdakileri girin:
# rkhunter --versioncheck
Güncelleyiciyi aşağıdaki komutu vererek çalıştırın.
# rkhunter --updateb
Veritabanı dosyalarımız yenilendiğinde, geçerli değerleri kontrol etmek ve bunları bilinen iyi değerler olarak saklamak için rkhunter'a söylememiz gerekir:
# rkhunter --propupd
5. MANÜEL TARAMA
Aşağıdaki komutu vererek manuel tarama başlatabilirsiniz:
rkhunter -c
Hangi etkileşimli modda rkhunter çalışır. Başka bir deyişle, belirli bir taramanın sonuna gelindiğinde, devam etmek için 'enter' tuşuna basmanız gerekir. Etkileşimli modu "otomatik atla" yapmak istiyorsanız, en sonunda -sk seçeneğini ekleyin:
rkhunter -c -sk
Tarama sonuçlarınız aşağıdaki gibi olmalıdır:
---------------------------- Scan results ----------------------------
MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0
File scan
Scanned files: 412
Possible infected files: 0
Application scan
Vulnerable applications: 0
Scanning took 39 seconds
-----------------------------------------------------------------------
DİĞER KOMUTLAR
--check
rkhunter'a yerel sistemde çeşitli kontroller gerçekleştirmesini söyler. Her testin sonucu, stdout'ta görüntülenecektir. Şüpheli bir şey bulunursa, bir uyarı görüntülenecektir. Testlerin bir günlük dosyası ve sonuçları otomatik olarak üretilecektir. Sistemin tehlikeye girmediğinden emin olmak için bu komut seçeneğinin düzenli olarak çalıştırılması önerilir.
--unlock
kilit dosyasının kilidini açar (kaldırır). Bu seçenek tek başına kullanılıyorsa, hiçbir günlük dosyası oluşturulmaz.
--appendlog
Varsayılan olarak, rkhunter çalıştığında yeni bir günlük dosyası oluşturulacak ve bir önceki günlük dosyası .old eklendiğinde .old adıyla yeniden adlandırılacaktır. Bu seçenek, rkhunter’ın mevcut günlük dosyasına eklenmesini söyler. Günlük dosyası yoksa, o zaman oluşturulacaktır.
--debug
Bu özellikle geliştiriciler için özel bir seçenektir. Stdout'ta çıktı üretmez. Düzenli günlük kaydı varsayılan olarak veya --logfile seçeneği tarafından belirtildiği gibi devam edecek ve hata ayıklama çıkışı / tmp / rkhunter-debug ile başlayan rasgele oluşturulmuş bir dosya adı olacaktır.
7. RKHUNTER YARDIM
Daha fazla bilgi ve seçenek için lütfen aşağıdaki komutu çalıştırın.
# rkhunter --help