Im zweiten Teil der Reihe “Server absichern” soll es um die Suche nach Rootkits gehen, falls ein Angreifer es geschafft haben sollte, das System zu komprimitieren.
Dazu nutzen wir “chkrootkit && rkhunter”.
Das Problem
Sollte ein Angreifer in euer System eingedrunden sein, so möchte dieser oft die Kontrolle über das System behalten, um später damit weiter “arbeiten” zu können. Oft werden dazu Backdoors, oder auch Rootkits verwendet.
Dagegen möchte man sich als Serverbetreiber schützen.
Die Installation
Zunächst installieren wir uns die beiden Tools aus den Paketquellen:
sudo apt-get install mailutils chkrootkit rkhunter
Ich habe hier mailutils noch mit aufgeführt, damit - falls noch nicht vorhanden - man über Kommandozeile bzw. die Tools Emails verschicken können.
Nach der Installation sollte man zumindest rkhunter updaten:
sudo rkhunter --propupd --update
Der Systemcheck
Nun kann man die Systemchecks ausführen:
sudo rkhunter -c
Wobei rkhunter die Ergebnisse unter /var/log/rkhunter.log ablegt.
Chkrootkit möchte seine Arbeit auch verrichten:
sudo chkrootkit
Cronjobs
Beide Programme liefern Cronjob-Scripte mit, welche man im Verzeichnis /etc/cron.daily/ findet.
Meiner Meinung nach reicht es aus, sich die Logdateien täglich anzuschauen, anstatt sich die gesamten Logs per Email schicken zu lassen.
Rkhunter führt seinen Job bereits täglich aus - bei chkrootkit muss man es noch aktivieren.
sudo nano /etc/chkrootkit.conf
Dort ersetzen wir
RUN_DAILY="false"
mit
RUN_DAILY="true"
Logdateien
Die Logdatei vom letzten rkhunter-scan findet sich immer in
/var/log/rkhunter.log
und die von chkrootkit in
/var/log/chkrootkit/
Fazit
Man sollte am Besten diese Tools erst gar nicht gebrauchen müssen, denn wenn diese was finden, dann hat man ein Problem (gehabt).
Trotzdem können solche Scans nicht schaden.
Gruß
gehaxelt