user@linuxtrack:~ $ python -c 'print("Soyez les bienvenus !")'

Vous n'êtes pas identifié(e).

#1 07-03-2013 18:47:47

cabusar
Membre

[Tuto]Protection contre les rootkits avec RKHunter

Bonjour à tous.

Un tout petit tuto pour vous aider à lutter contre les rootkits.

Wikipedia a écrit :

Un rootkit (le nom « outil de dissimulation d'activité » est également utilisé), parfois simplement « kit », est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur de la manière la plus furtive possible, à la différence d'autres logiciels malveillants. Le terme peut désigner la technique de dissimulation ou plus généralement un ensemble particulier d'objets informatiques mettant en œuvre cette technique.

Ce qu'il faut retenir c'est que c'est une sorte de virus qui, le plus souvent, permet à un pirate d'avoir un accès sur votre machine.

Bien entendu ceci s'adresse plus particulièrement aux serveurs, mais son utilisation sur un ordinateur n'est pas inutile. wink

Tout d'abord l'installation :

sudo -i
apt-get update
apt-get upgrade
apt-get install rkhunter

Voilà, vous venez d'installer rkhunter, quelques modifications mineures restent à faire mais globalement vous avez fait le plus gros. wink

Maintenant on va modifier le fichier de configuration : /etc/rkhunter.conf

Ouvrez le en root ( sudo ou sudo -i )

Modifiez :
MAIL-ON-WARNING="votre_adresse@mail.com"

Comme ça il vous enverra un mail s'il détecte un truc pas cool.

Dé-commentez :

ALLOWHIDDENDIR=/dev/.udev

et

ALLOWHIDDENDIR=/dev/.static

Il semblerait que ça provoque des faux positifs mais je n'en sais pas plus.



Maintenant les commandes de base de rkhunter :

La première à faire aprés l'installation :

root@serveur3:~# rkhunter --update

Elle sert à mettre à jour la base de donnée de l'outils.

Ensuite :

root@serveur3:~# rkhunter --propupd

Elle sert à mettre à jour la base interne de l'outils, elle est à réaliser aprés chaque installation par contre, sinon vous allez avoir des faux positifs.

Et pour finir :

root@serveur3:~# rkhunter --check

Qui permet de lancer le check et, au besoin, de vous envoyer un mail ( mais bon vous avez les yeux sur votre machine pour le moment ).

Pour le moment c'est tout, je rajouterais surement ultérieurement une partie concernant l'envois de mail qui semble mal se passer pour le moment et surtout l'automatisation des checks.

N'hésitez pas à m'adresser vos remarques ou à me poser des questions. smile

Dernière modification par cabusar (07-03-2013 18:48:18)

Hors ligne

#2 07-03-2013 19:24:47

s.v.0.t
Membre

Re : [Tuto]Protection contre les rootkits avec RKHunter

Yeap cabusar,

Cela fait un moment que je n'avais pas tester le chasseur de rootkit smile mais en regardant le manuel, je viens de voir cette option

 --cronjob 

qui peut être intéressante, avec

--report-warnings-only

qui va éviter les rapports à rallonge fastueux à lire...


man a écrit :

--cronjob
              This  is  similar to the --check command option, but it disables
              several of the interactive options. When  this  option  is  used
              --check,  --nocolors and --skip-keypress are assumed. By default
              no output is  sent  to  stdout,  so  the  --report-warnings-only
              option may be useful with this option.

C'était mes deux cents

A+


Ce ne sont pas les années de vie qui comptent, mais la vie qu'il y a dans ces années

Hors ligne

Pied de page des forums