rkhunter (Rootkit Hunter)는 루트킷, 백도어, 및 가능한 로컬 익스플로잇에 대해 조사하는 유닉스-기반 도구입니다. 그것은 중요한 파일의 SHA-1 해시를 온라인 데이터베이스에서 잘 알려진 해시와 비교하고, (루트킷의) 기본 디렉토리, 잘못된 권한, 숨겨진 파일, 커널 모듈에서 의심스러운 문자열을 검색하고, 리눅스와 FreeBSD에 대한 특별 테스트를 함으로써 이것을 수행합니다. rkhunter는 인기 있는 운영 시스템 (페도라, 데비안, 등)에 포함됨으로 인해 유명해졌습니다.
그 도구는 이식성에 대해 고려하기 위해 본 쉘로 작성되어 욌습니다. 그것은 거의 모든 유닉스-파생 시스템에서 실행될 수 있습니다.
Development
2003년에, 개발자 Michael Boelen은 Rootkit Hunter 버전을 출시했습니다. 몇 년의 개발 뒤에, 2006년 초에, 그는 개발 팀으로 개발을 넘겨주는 것을 동의했습니다. 그 이후로, 8명의 사람들이 프로젝트를 적절하게 설정하고 꼭 필요한 유지 관리 릴리스를 만들기 위해 일하고 있습니다. 이후 프로젝트는 SourceForge로 옮겨졌습니다.
Installations
데비안 저장소에서 설치할 수 있습니다:
- sudo apt install rkhunter
Configuration
몇 가지 구성을 설정하는 것이 좋습니다.
email notifications :
MAIL-ON-WARNING, MAIL_CMD를 주석해제합니다.
Ignore known false positives :
설정 파일에서 다음을 적절히 확인 또는 추가합니다:
ALLOWPROCDELFILE=/usr/sbin/cron
ALLOWPROCDELFILE=/usr/bin/dash
ALLOWPROCDELFILE=/usr/bin/run-parts
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
#PORT_PATH_WHITELIST=/usr/sbin/portsentry
ALLOW_SSH_ROOT_USER=prohibit-password
Test
update malware database
- sudo rkhunter --update
initial snapshot
- sudo rkhunter --propupd
full test
- sudo rkhunter -c --rwo
email test
- /etc/cron.daily/rkhunter
Troubleshootings
Non-existent pathname :
/etc/rkhunter.conf 파일에서 해당 바이너리의 정확한 경로로 바꿉니다.
Checking for prerequisites [ Warning ] :
/var/log/rkhunter.log 파일을 읽어서, 'sudo rkhunter --propupd' 실행 후 해결됩니다.
설정 파일 경로 :
기존의 /etc/rkhunter.conf를 /etc/rkhunter/rkhunter.conf로 이동해야 합니다.