■Scientific Linux 5.6でrootkitチェック
Scientific Linux 5.6でrootkitチェックを行った時のメモ。当然ながらインターネットからアクセスできる状態にする前にやっておくこと。Scientific Linuxではepelのリポジトリを使ってchkrootkitとrkhunterが利用可能なのでそれらを利用する。通常はyum-conf-epel-5-1をインストールすることでepelが利用可能。現環境ではphp等の関係でIUS Community Projectを利用しており、epelが導入されているのでそのまま利用可能だった。CentOSも同様の手順で利用可能。どちらも古くからあるツールだがepelに含まれることで使いやすくなっているのがありがたい。
■chrootkit
インストール
# yum install chrootkit
チェック
# chrootkit (フル出力)
# chrootkit -q(問題のみ出力)
chkrootkitはアラートが出た場合それを無視する設定をしないことを推奨している模様。以前はignoreする設定方法があったと思うのだが、今回探してみたが見つけられなかった。
■rkhunter
インストール
# yum install rkhunter
チェック
# rkhunter —update(アップデート)
# rkhunter -c –createlogfile
一度実行して出力確認する
標準以外のリポジトリ使用時はアラートが出る可能性があるので
内容を確認して”Checking for prerequisites”でWarningが出るようなら
以下を実行する
# rkhunter –propupd
再度チェックを実行してアラートが消えることを確認する
# rkhunter -c –createlogfile
rkhunterは自動でcron.dairyに組み込まれるが、chkrootkitは組み込まれないので必要に応じてcron用ファイルを作成する。
Scientific Linux 5.6でrootkitチェック http://t.co/HaCFuzT #securityjp