Pour chercher les rootkits présents sur le système et autre vers.
Installation
# aptitude install rkunter
La configuration à lieu dans le fichier /etc/rkhunter.conf. Par défaut
certains tests sont inactivés comme par exemple hidden_procs qui
a besoin du paquet unhide. Pour l'activer il suffit de l'enlever de la
liste DISABLE_TESTS (ligne 199).
De même la vérification des paquet via le système de paquet est désactivé par
défaut sur Debian puisqu'il met beaucoup de temps. Pour l'activer il faut
activer l'option PKGMGR dans /etc/rkhunter.conf:
257 PKGMGR = DPKG
/proc/modules
Sur le serveur RPS d'OVH il n'y a pas le fichier /proc/modules ceci
entraine un avertissement lors des test. Pour empêcher que cela apparaisse en
permanence il suffit de désactivé ce test a l'aide de la variable
DISABLE_TESTS auquel il faut ajouter la valeur os_specific dans
/etc/rkhunter:
199 DISABLE_TEST="os_specific"
Problème lors de la mise à jour de paquet
Lors de la mise à jour de paquets, certains fichiers peuvent être modifié et ne plus correspondre à ce que rkhunter avait détecté précédemment. Cela entraine donc des avertissements du style:
Warning: The file properties have changed:
File: /sbin/syslogd
Current inode: 563364 Stored inode: 563394
Pour mettre à jour la base de rkhunter concernant le suivi des modifications de fichier, il suffit de lancer la commande suivante:
rkhunter --propupd
Cela peut être automatisé à chaque installation de paquet via un script lancé
par le système de paquet. Pour cela il suffit de créer le fichier
/etc/apt/apt.conf.d/90rkhunter:
// Update rkhunter file signatures databases after running dpkg.
DPkg::Post-Invoke {
"if [ -x /usr/bin/rkhunter ]; then if [ $(/usr/bin/rkhunter --help | /bin/grep "propupd" | /usr/bin/wc -l) -gt 0 ]; then /usr/bin/rkhunter --propupd; fi; fi";
};