FERRAMENTAS LINUX: Aprenda a usar o RKhunter no Debian e nos seus derivados

quarta-feira, 27 de janeiro de 2016

Aprenda a usar o RKhunter no Debian e nos seus derivados





Hoje, vamos aprender como usar o RKhunter, que é um programa para a detecção de rootkits backdoors, sniffers e exploits e outros. O rkhunter também faz a verificações para ver se os comandos foram modificados, se o sistema de inicialização de arquivos foi alterado e teste na interface de rede.


Para instalar o rkhunter, abra o terminal e digite:

sudo apt-get install rkhunter

Antes de executar o rkhunter é preciso atualizar a base de dados dele, com as propriedades dos arquivos, pois, o rkhunter faz a comparação das propriedades dos arquivos atuais com aqueles que foram armazenados. Para isso, executamos o seguinte comando:
 
sudo rkhunter --propupd

Isso tem que ser feito toda fez que instalar algum programa ou atualizar o sistema, caso você não faça isso vai ter resultados ” falsos positivos”. Mas você pode fazer com que o rkhunter executar automaticamente essa tarefa, basta adicionar esse comando APT_AUTOGEN = “yes” no diretório  / etc / default / rkhunter.

Agora temos que atualizar o banco de dados do rkhunter, com esse comando:
 
sudo rkhunter --update
 
Você também pode verificar se tem alguma versão mais nova do rkhunter disponível, com esse comando:

sudo rkhunter --versioncheck
 
Feito isso, vamos fazer a verificação no sistema, usando esse comando:

sudo rkhunter -c
 
É bem simples de entender os resultados gerados pelo rkhunter, quando estiver tudo certo com os arquivos, será exibido um OK, Not found ou None found na cor verde, caso ele encontre alguma irregularidade será exibido Warning na cor vermelha.
É comum na execução do rkhunter apareça algumas advertências, como arquivos ocultos em:

/dev/.static
/dev/.udev
/dev/.initramfs
 
Não tem o que se preocupar, esses diretórios são “falsos positivos”, não traz nenhuma ameaça para o seu sistema, você pode ler sobre esse diretório aqui. Mas quando aparecer alguma advertência é bom sempre verificar o que se tratar

 Fonte

Até a opróxima !!!
 

Nenhum comentário:

Postar um comentário