Cazador de rootkits en CentOS 5 y 6
¿Se pregunta cómo instalar Rootkit Hunter en CentOS 5 y 6? Te podemos ayudar.
En Bobcares, ofrecemos soluciones para cada consulta, grande o pequeña, como parte de nuestro Servicio de administración de servidores.
Echemos un vistazo a cómo nuestro equipo de soporte ayuda con esta consulta.
¿Cómo instalar Rootkit Hunter en CentOS 5 y 6?
Básicamente, rootkit Hunter es una herramienta basada en Unix que busca rootkits, puertas traseras y posibles vulnerabilidades locales.
Los rootkits son kits de herramientas que se ocultan automáticamente instalados en secreto por un intruso malicioso para permitir que ese usuario obtenga acceso al servidor.
Rootkit Hunter ofrece protección comparando hashes SHA-1 de archivos importantes con bien conocido en una base de datos en línea, así como:
- Comparación de hash MD5
- Busque los archivos predeterminados utilizados por los rootkits
- Permisos de archivo incorrectos para binarios
- Luego, busque cadenas sospechosas en los módulos LKM y KLD
- Busca archivos ocultos
- Escaneo opcional dentro de archivos de texto sin formato y binarios
1. Instale Rootkit Hunter en CentOS 5 y 6
Hoy, veamos los pasos de instalación seguidos por nuestros técnicos de soporte:
Descargar cazador de rootkits
Comience descargando la última versión estable de Rkhunter usando el wget
dominio.
Él /usr/local/src
La carpeta es donde debe colocar cualquier programa (fuente o binario) que haya descargado antes de instalarlo.
cd /usr/local/src wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz.sha1.txt sha1sum -c rkhunter-1.4.2.tar.gz.sha1.txt
Instalación Rootkit Hunter
Una vez que haya descargado la última versión de Rootkit Hunder, emita los siguientes comandos como root para iniciar la rutina de instalación.
tar -zxvf rkhunter-1.4.2.tar.gz cd rkhunter-1.4.2 ./installer.sh --layout default --install /usr/local/bin/rkhunter --update /usr/local/bin/rkhunter --propupd rm -Rf /usr/local/src/rkhunter*
2. Automatice Rootkit Hunter en CentOS 5 y 6
Rkhunter se puede configurar para ejecutar comprobaciones todos los días para que siempre tengamos información actualizada sobre intrusiones.
Esto se puede lograr mediante la creación de un cronjob.
Crear archivo cron
Cree el archivo de ejecución en la siguiente ubicación (solo distribuciones basadas en RHEL):
nano -w /etc/cron.daily/rkhunter.sh
Insertar script de shell
El siguiente script se puede configurar para enviar notificaciones por correo electrónico a una identificación de correo electrónico específica.
Él --versioncheck
comprueba que nuestras definiciones de amenazas están actualizadas. Él --update
La opción actualiza nuestras definiciones de amenazas, si es necesario.
Él --cronjob
opción le dice a rkhunter que no requiera pulsaciones de teclas interactivas.
Debe insertar este breve script de shell en el archivo rkhunter.sh que acabamos de crear.
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Scan Report (PutYourServerNameHere)' [email protected]
Importante: Recuerde cambiar: (PutYourServerNameHere) Y [email protected] a un nombre de servidor / dirección de correo electrónico válidos
Establecer permisos de ejecución
Establezca el permiso de ejecución en el archivo que acaba de crear:
chmod 755 /etc/cron.daily/rkhunter.sh
La utilidad cron se ejecutará una vez al día y, si se detecta una amenaza, el propio comando rkhunter enviará un correo electrónico a nuestro usuario para alertarlo.
Si no se encontraron problemas, no se recibirá ningún correo electrónico.
3. Configuración del cazador de rootkits
El archivo de configuración para rkhunter se puede encontrar en:
/etc/rkhunter.conf
Inicio de sesión raíz SSHD
El parámetro ALLOW_SSH_ROOT_USER
le dice a rkhunter si el usuario root puede ingresar al sistema mediante ssh o no.
Esto no está configurado de forma predeterminada en el rkhunter.conf
expediente. Rkhunter se quejará de esto en cada ejecución.
Si ha deshabilitado el inicio de sesión raíz, debe establecer este parámetro en "no".
ALLOW_SSH_ROOT_USER=no If you need root login over SSH, you should change this parameter to "yes" so that rkhunter can check this and will mark this setting as valid:
ALLOW_SSH_ROOT_USER=yes Security practices recommend disabling root login.
4. Actualizar rkhunter
Para verificar la versión instalada actualmente, ingrese lo siguiente:
# /usr/local/bin/rkhunter --versioncheck
Ejecute el actualizador emitiendo el siguiente comando:
# /usr/local/bin/rkhunter --update
Con nuestros archivos de base de datos actualizados, debemos decirle a rkhunter que verifique los valores actuales y los almacene como valores conocidos:
# /usr/local/bin/rkhunter --propupd
5. Escaneo manual
Puede iniciar un escaneo manual emitiendo el siguiente comando:
/usr/local/bin/rkhunter -c
Que ejecuta rkhunter en modo interactivo. En otras palabras, cuando llega al final de un escaneo en particular, debe presionar 'enter' para continuar.
Si desea "omitir automáticamente" el modo interactivo, agregue la opción -sk al final:
/usr/local/bin/rkhunter -c -sk
Para escanear todo el sistema de archivos ingrese:
rkhunter --check
Los resultados de su escaneo deberían verse de la siguiente manera:
---------------------------- Scan results ---------------------------- MD5 scan Scanned files: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 412 Possible infected files: 0 Application scan Vulnerable applications: 0 Scanning took 39 seconds -----------------------------------------------------------------------
¡EVITE QUE SU SERVIDOR SE ATAQUE!
¡Nunca más pierda clientes debido a la baja velocidad del servidor! Dejanos ayudarte.
Nuestros expertos en servidores supervisarán y mantendrán su servidor las 24 horas del día, los 7 días de la semana, para que siga siendo rápido y seguro.
EMPEZAR
¡EVITE QUE SU SERVIDOR SE ATAQUE!
¡Nunca más pierda clientes debido a la baja velocidad del servidor! Dejanos ayudarte.
Nuestros expertos en servidores supervisarán y mantendrán su servidor las 24 horas del día, los 7 días de la semana, para que siga siendo rápido y seguro.
EMPEZAR
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.
Te podría interesar...