در این پست می خواهیم در مورد یک وسیله امنیتی صحبت کنیم به نام Rkhunter یا RKH که این خود مختصر شده کلمه Root Kit Hunter است. در این مقاله یاد می گیریم که چگونه این برنامه را در دیستروهای زیر با استفاده از سورس برنامه نصب و پیکربندی کنیم:
همچنین توصیه میشود مطالعه کنید.
شناسایی و بررسی rootkit ها در لینوکس با استفاده از rkhunter و chkrootkit
نحوه نصب LMD (مخفف Linux Malware Detect) به همراه آنتی ویروس ClamAV
Malware (بدافزار) چیست ؟
آیا سیستم عامل لینوکس بدون ویروس است ؟
Rkhunter چیست؟
Root Kit Hunter یک برنامه متن باز بر پایه Unix/Linux است. این برنامه بر پایه لیسانس GPL توسعه یافته که با آن می توان Backdoor ها , Rootkit ها و سایر مشکلات امنیتی را در سیستم خود پیدا کنیم. این برنامه در سیستم به دنبال فایل های مخفی و فایل های بایناری که دسترسی آن به درستی تنظیم نشده باشد می گردد این برنامه همچنین در کرنل سیستم عامل به دنبال string های ناشناخته و مشکوک می گردد بنابراین اگر احتمالا مشکل امنیتی در کرنل وجود داشته باشد آن را به ما گزارش می دهد. اگر می خواهید در مورد فیچرهای این برنامه بیشتر بدانید لینک زیر را دنبال کنید.
برای اینکه با مفهوم روتکیت آشنا شوید به این لینک بروید.
نصب RKHunter در ردهت , CentOS و فدورا:
قدم اول: دانلود RKhunter
اول آخرین نسخه پایدار RKhunter را از لینک زیر دانلود می کنیم.
قدم دوم: نصب RKhunter
بعد از این که آن را دانلود کردیم به پوشه مربوطه می رویم (در کامپیوتر من پوشه Downloads) و با دستورات زیر آن را نصب می کنیم. (این دستورات باید با دسترسی روت زده شود)
قدم سوم: آپدیت کردن RKH
حالا با دستور زیر برنامه را آپدیت می کنیم. با این دستور دیتابیس برنامه از اطلاعات لازم پر می شود.
قدم چهارم: ست کردن cronjob و اخطار از طریق ایمیل
یک فایل به اسم rkhunter.sh در مسیر /etc/cron.daily می سازیم و کد زیر را در آن کپی می کنیم در این فایل سرور میل و ایمیل خود را می نویسیم که در صورت مشاهده مشکل امنیتی به ما ایمیل زده می شود. این فایل هر روز چک می شود.
در کد زیر به جای PutYourServerNameHere آدرس سرور میل خود را بنویسید و به جای your@email.com آدرس ایمیل خود.
حالا باید به این فایل دسترسی اجرایی بدهیم.
قدم پنجم: استفاده از RKH
با دستور زیر کل فایل سیستم را چک می کند و دنبال مشکلات امنیتی می گردد.
کامند بالا گزارش در فایل /var/log/rkhunter.log تولید می کند که خروجی برنامه را به ما نشان می دهد و با استفاده از آن می توانیم مشکلات امنیتی سیستم خود را ببنیم. برای اطلاعات بیشتر از نحوه کارکرد این برنامه می توانیم از دستور زیر استفاده کنیم.
کد PHP:
RHEL 6.3/6.2/6.1/6/5.8
CenOS 6.3/6.2/6.1/5.8
Fedora 12,13,14,15,16,17
همچنین توصیه میشود مطالعه کنید.
شناسایی و بررسی rootkit ها در لینوکس با استفاده از rkhunter و chkrootkit
نحوه نصب LMD (مخفف Linux Malware Detect) به همراه آنتی ویروس ClamAV
Malware (بدافزار) چیست ؟
آیا سیستم عامل لینوکس بدون ویروس است ؟
Rkhunter چیست؟
Root Kit Hunter یک برنامه متن باز بر پایه Unix/Linux است. این برنامه بر پایه لیسانس GPL توسعه یافته که با آن می توان Backdoor ها , Rootkit ها و سایر مشکلات امنیتی را در سیستم خود پیدا کنیم. این برنامه در سیستم به دنبال فایل های مخفی و فایل های بایناری که دسترسی آن به درستی تنظیم نشده باشد می گردد این برنامه همچنین در کرنل سیستم عامل به دنبال string های ناشناخته و مشکوک می گردد بنابراین اگر احتمالا مشکل امنیتی در کرنل وجود داشته باشد آن را به ما گزارش می دهد. اگر می خواهید در مورد فیچرهای این برنامه بیشتر بدانید لینک زیر را دنبال کنید.
برای اینکه با مفهوم روتکیت آشنا شوید به این لینک بروید.
نصب RKHunter در ردهت , CentOS و فدورا:
قدم اول: دانلود RKhunter
اول آخرین نسخه پایدار RKhunter را از لینک زیر دانلود می کنیم.
کد PHP:
https://www.rootkit.nl/projects/rootkit_hunter.html
بعد از این که آن را دانلود کردیم به پوشه مربوطه می رویم (در کامپیوتر من پوشه Downloads) و با دستورات زیر آن را نصب می کنیم. (این دستورات باید با دسترسی روت زده شود)
کد PHP:
# cd /home/amir/Downloads
# tar -xvf rkhunter-1.4.2.tar.gz
# cd rkhunter-1.4.2
# ./installer.sh --layout default --install
قدم سوم: آپدیت کردن RKH
حالا با دستور زیر برنامه را آپدیت می کنیم. با این دستور دیتابیس برنامه از اطلاعات لازم پر می شود.
کد PHP:
# /usr/local/bin/rkhunter --update
# /usr/local/bin/rkhunter --propupd
قدم چهارم: ست کردن cronjob و اخطار از طریق ایمیل
یک فایل به اسم rkhunter.sh در مسیر /etc/cron.daily می سازیم و کد زیر را در آن کپی می کنیم در این فایل سرور میل و ایمیل خود را می نویسیم که در صورت مشاهده مشکل امنیتی به ما ایمیل زده می شود. این فایل هر روز چک می شود.
کد PHP:
# vim /etc/cron.daily/rkhunter.sh
کد PHP:
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run (PutYourServerNameHere)' your@email.com
کد PHP:
# chmod 755 /etc/cron.daily/rkhunter.sh
قدم پنجم: استفاده از RKH
با دستور زیر کل فایل سیستم را چک می کند و دنبال مشکلات امنیتی می گردد.
کد PHP:
# rkhunter --check
کد PHP:
# rkhunter --help