vadim_s_sabinich 11 ноя 2014 в 10:21

Установка, настройка и использование сканера уязвимостей сервера rkhunter

3 мин

73K

Блог компании FirstVDSИнформационная безопасность*

Туториал

+13

Комментарии 15

briskly 11 ноя 2014 в 15:42

Тип поста очень похож на tutorial.
Или надо разбавить сравнением. Чем он лучше того что есть, или хуже?

vadim_s_sabinich 11 ноя 2014 в 16:37

Да, Вы правы. Добавил флажок.

Ernillew 11 ноя 2014 в 17:11

> Чем он лучше того что есть, или хуже?

А сравнивать не с чем. rkhunter один в своем классе, фактически.

Indexator 11 ноя 2014 в 17:13

А как же chkrootkit?

Ernillew 11 ноя 2014 в 17:16

А он живой? Спасибо, что напомнили, я его лет 8 не смотрел.
Ну да, тогда их два.
У себя сейчас, ради интереса, посмотрю. Просто rkhunter использую регулярно, когда в руки попадают сервера которые переставлять нельзя, а раньше админились другими, а вот про chkrootkit давно забыл.

Indexator 11 ноя 2014 в 17:20

Ну, судя по сайту, вроде живой :)

Claud 13 ноя 2014 в 22:50

Еще есть lynis правда не уверен идет ли она по сигранутам руткиты или проверяет различне настройки, но пакет из той же оперы.

К слову был у меня с rkhunter странный случай. Подвешивал он не однократно сервер по ночам в момент своего запуска, на глухо выжирая все ресурсы. По этому нужно быть осторожным с ним.

Indexator 11 ноя 2014 в 17:13

Спасибо. Ждем мануал по chkrootkit :)

vadim_s_sabinich 12 ноя 2014 в 08:25

Хорошо =). Постараюсь более полно раскрыть возможности chkrootkit исходя из замечаний в комментариях к этой публикации.

vadim_s_sabinich 18 ноя 2014 в 10:37

Затянул немного с мануалом, но он все же готов.

ValdikSS 11 ноя 2014 в 17:50

Могу посоветовать сканер userland-руткитов, которые замещают системные вызовы через LD_PRELOAD
www.chokepoint.net/2014/02/detecting-userland-preload-rootkits.html

dvapelnik 11 ноя 2014 в 21:57

я ожидал более тонкой настройки, а тут просто запуск из коробки и добавление сканирования в крон через веб-интерфейс ISPmanager

Izzet 12 ноя 2014 в 05:38

Простите, почему rkhunter обозвали «сканером уязвимостей»? Какие уязвимости он ищет?

vadim_s_sabinich 12 ноя 2014 в 08:24

помимо создания снимка системных файлов при первом запуске, по умолчанию проверяет файлы не только на изменения хэша, но и по своим базам руткитов, вредоносных программ (malware), «троянских коней», подозрительные порты и тому подобное.
Плюс можно включать\отключать дополнительные тесты, полный список которых доступен по команде rkhunter --list tests
Я опустил это, так как по умолчанию включен достаточный набор проверок.

bondbig 12 ноя 2014 в 10:49

Еще рекомендую посмотреть на OSSEC. Это не антируткит, а скорее HIPS, но очень полезная штука для сервера.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий