vadim_s_sabinich Nov 11 2014 at 07:21

Установка, настройка и использование сканера уязвимостей сервера rkhunter

3 min

78K

FirstVDS corporate blogInformation Security *

Tutorial

+13

Comments 15

briskly Nov 11 2014 at 12:42

Тип поста очень похож на tutorial.
Или надо разбавить сравнением. Чем он лучше того что есть, или хуже?

vadim_s_sabinich Nov 11 2014 at 13:37

Да, Вы правы. Добавил флажок.

Ernillew Nov 11 2014 at 14:11

> Чем он лучше того что есть, или хуже?

А сравнивать не с чем. rkhunter один в своем классе, фактически.

Indexator Nov 11 2014 at 14:13

А как же chkrootkit?

Ernillew Nov 11 2014 at 14:16

А он живой? Спасибо, что напомнили, я его лет 8 не смотрел.
Ну да, тогда их два.
У себя сейчас, ради интереса, посмотрю. Просто rkhunter использую регулярно, когда в руки попадают сервера которые переставлять нельзя, а раньше админились другими, а вот про chkrootkit давно забыл.

Indexator Nov 11 2014 at 14:20

Ну, судя по сайту, вроде живой :)

Claud Nov 13 2014 at 19:50

Еще есть lynis правда не уверен идет ли она по сигранутам руткиты или проверяет различне настройки, но пакет из той же оперы.

К слову был у меня с rkhunter странный случай. Подвешивал он не однократно сервер по ночам в момент своего запуска, на глухо выжирая все ресурсы. По этому нужно быть осторожным с ним.

Indexator Nov 11 2014 at 14:13

Спасибо. Ждем мануал по chkrootkit :)

vadim_s_sabinich Nov 12 2014 at 05:25

Хорошо =). Постараюсь более полно раскрыть возможности chkrootkit исходя из замечаний в комментариях к этой публикации.

vadim_s_sabinich Nov 18 2014 at 07:37

Затянул немного с мануалом, но он все же готов.

ValdikSS Nov 11 2014 at 14:50

Могу посоветовать сканер userland-руткитов, которые замещают системные вызовы через LD_PRELOAD
www.chokepoint.net/2014/02/detecting-userland-preload-rootkits.html

dvapelnik Nov 11 2014 at 18:57

я ожидал более тонкой настройки, а тут просто запуск из коробки и добавление сканирования в крон через веб-интерфейс ISPmanager

Izzet Nov 12 2014 at 02:38

Простите, почему rkhunter обозвали «сканером уязвимостей»? Какие уязвимости он ищет?

vadim_s_sabinich Nov 12 2014 at 05:24

помимо создания снимка системных файлов при первом запуске, по умолчанию проверяет файлы не только на изменения хэша, но и по своим базам руткитов, вредоносных программ (malware), «троянских коней», подозрительные порты и тому подобное.
Плюс можно включать\отключать дополнительные тесты, полный список которых доступен по команде rkhunter --list tests
Я опустил это, так как по умолчанию включен достаточный набор проверок.

bondbig Nov 12 2014 at 07:49

Еще рекомендую посмотреть на OSSEC. Это не антируткит, а скорее HIPS, но очень полезная штука для сервера.