■Scientific Linux 5.6でrootkitチェック
 Scientific Linux 5.6でrootkitチェックを行った時のメモ。当然ながらインターネットからアクセスできる状態にする前にやっておくこと。Scientific Linuxではepelのリポジトリを使ってchkrootkitとrkhunterが利用可能なのでそれらを利用する。通常はyum-conf-epel-5-1をインストールすることでepelが利用可能。現環境ではphp等の関係でIUS Community Projectを利用しており、epelが導入されているのでそのまま利用可能だった。CentOSも同様の手順で利用可能。どちらも古くからあるツールだがepelに含まれることで使いやすくなっているのがありがたい。

■chrootkit
インストール
 # yum install chrootkit
チェック
 # chrootkit (フル出力)
 # chrootkit -q(問題のみ出力)

chkrootkitはアラートが出た場合それを無視する設定をしないことを推奨している模様。以前はignoreする設定方法があったと思うのだが、今回探してみたが見つけられなかった。

■rkhunter
インストール
 # yum install rkhunter
チェック
 # rkhunter —update(アップデート)
 # rkhunter -c –createlogfile
 一度実行して出力確認する
 標準以外のリポジトリ使用時はアラートが出る可能性があるので
 内容を確認して”Checking for prerequisites”でWarningが出るようなら
 以下を実行する
 # rkhunter –propupd
 再度チェックを実行してアラートが消えることを確認する
 # rkhunter -c –createlogfile

rkhunterは自動でcron.dairyに組み込まれるが、chkrootkitは組み込まれないので必要に応じてcron用ファイルを作成する。

, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...